Política de Segurança

1. Compromisso com a Segurança

A AGNUS CLOUD TECNOLOGIA DA INFORMAÇÃO LTDA (“Agnus Cloud”) reconhece que a segurança da informação é um pilar fundamental para a confiança de seus clientes e para a excelência na prestação de serviços. Esta Política de Segurança descreve as medidas técnicas e organizacionais adotadas para proteger os dados, sistemas e plataformas contra ameaças internas e externas.

Nossas práticas de segurança estão alinhadas com as exigências da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), do Marco Civil da Internet (Lei nº 12.965/2014) e com as melhores práticas e frameworks de segurança da informação reconhecidos internacionalmente.

A Agnus Cloud adota uma abordagem de segurança em camadas (defense in depth), implementando múltiplos controles de segurança em diferentes níveis da plataforma para garantir a proteção abrangente dos dados e serviços.

2. Medidas de Proteção

A Agnus Cloud implementa um conjunto abrangente de medidas técnicas para garantir a confidencialidade, a integridade e a disponibilidade dos dados e sistemas:

2.1. Criptografia em Trânsito e em Repouso

Todas as comunicações entre os usuários e a plataforma Agnus Cloud são protegidas por criptografia TLS/SSL (Transport Layer Security / Secure Sockets Layer), utilizando protocolos atualizados e cifras robustas para garantir a confidencialidade e a integridade dos dados em trânsito.

Os dados armazenados em nossos sistemas são criptografados em repouso utilizando algoritmos de criptografia AES-256 ou equivalentes, garantindo que, mesmo em caso de acesso não autorizado ao meio de armazenamento físico, os dados permaneçam ilegíveis e protegidos.

2.2. Controle de Acesso Baseado em Roles (RBAC)

A Agnus Cloud implementa um sistema de controle de acesso baseado em funções (Role-Based Access Control — RBAC), que garante que cada colaborador ou sistema tenha acesso apenas aos recursos estritamente necessários para o desempenho de suas atribuições. As políticas de acesso são revisadas periodicamente e atualizadas conforme necessário.

• Autenticação multifator (MFA) obrigatória para acesso a sistemas críticos
• Políticas de senha robustas com requisitos de complexidade e expiração
• Revisão periódica de permissões e revogação imediata de acessos em caso de desligamento
• Segregação de ambientes de desenvolvimento, homologação e produção

2.3. Monitoramento Contínuo 24/7

A plataforma da Agnus Cloud é monitorada de forma contínua, 24 horas por dia, 7 dias por semana, utilizando ferramentas de monitoramento e sistemas de detecção de intrusão (IDS/IPS) que permitem a identificação e a resposta rápida a eventos de segurança.

• Monitoramento de disponibilidade e desempenho de serviços em tempo real
• Detecção automatizada de anomalias e comportamentos suspeitos
• Alertas e notificações em tempo real para a equipe de segurança
• Análise contínua de logs para identificação de padrões de ataque

2.4. Backups Regulares com Retenção Configurável

A Agnus Cloud realiza backups regulares de todos os dados críticos, garantindo a possibilidade de recuperação em caso de falhas, incidentes de segurança ou desastres. Os backups são realizados com as seguintes características:

• Backups automatizados com frequência diária, semanal e mensal
• Armazenamento de backups em locais geograficamente distintos (redundância)
• Criptografia dos dados de backup em trânsito e em repouso
• Períodos de retenção configuráveis de acordo com o plano e as necessidades do cliente
• Testes periódicos de restauração para validar a integridade dos backups

2.5. Firewall e Proteção contra DDoS

A plataforma da Agnus Cloud é protegida por múltiplas camadas de firewall e sistemas de mitigação de ataques de negação de serviço distribuída (DDoS), incluindo:

• Firewalls de aplicação web (WAF) para proteção contra ataques na camada de aplicação
• Firewalls de rede com regras de filtragem configuradas para bloquear tráfego malicioso
• Sistemas de mitigação de DDoS com capacidade de absorção de ataques volumétricos
• Listas de bloqueio (blocklists) atualizadas automaticamente com base em inteligência de ameaças

2.6. Atualizações e Patches de Segurança

A Agnus Cloud mantém uma política rigorosa de gestão de vulnerabilidades e aplicação de patches de segurança, que inclui:

• Monitoramento contínuo de vulnerabilidades em sistemas operacionais, bibliotecas e dependências
• Aplicação de patches críticos de segurança em prazo máximo de 48 horas após a divulgação
• Varreduras periódicas de vulnerabilidades em todos os sistemas e plataformas
• Avaliações de segurança e testes de penetração realizados periodicamente
• Processo de gestão de mudanças com avaliação de impacto de segurança

3. Gestão de Incidentes

A Agnus Cloud mantém um Plano de Resposta a Incidentes de Segurança que define procedimentos claros para a detecção, a contenção, a erradicação e a recuperação em caso de incidentes de segurança. O plano contempla as seguintes etapas:

• Detecção e identificação: monitoramento contínuo e análise de eventos para identificação rápida de incidentes de segurança, com classificação por severidade e impacto.
• Contenção: ações imediatas para isolar e conter o incidente, minimizando o impacto sobre dados, sistemas e usuários afetados.
• Erradicação e recuperação: eliminação da causa raiz do incidente, restauração dos sistemas afetados e validação da integridade dos dados.
• Comunicação ao titular: em conformidade com o art. 48 da LGPD, a Agnus Cloud comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, em prazo razoável, informando a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas.
• Análise pós-incidente: investigação detalhada para identificar lições aprendidas e implementar melhorias nos controles de segurança, prevenindo a recorrência de incidentes similares.

4. Acesso aos Dados

A Agnus Cloud adota o princípio do menor privilégio (least privilege) como diretriz fundamental para o controle de acesso aos dados e sistemas. Isso significa que cada colaborador, sistema ou processo recebe apenas as permissões estritamente necessárias para o desempenho de suas funções específicas.

• Logs de auditoria: todos os acessos a dados pessoais e a sistemas críticos são registrados em logs de auditoria imutáveis, contendo informações sobre o usuário, a data/hora, a ação realizada e os dados acessados. Os logs são armazenados por período mínimo de 12 (doze) meses.
• Revisão periódica: as permissões de acesso são revisadas trimestralmente pela equipe de segurança, com remoção imediata de acessos desnecessários ou excessivos.
• Rastreabilidade: todas as operações realizadas em dados pessoais são rastreáveis, permitindo a identificação do responsável por qualquer ação em caso de auditoria ou investigação.
• Acesso de emergência: procedimentos específicos de break-glass para situações de emergência, com registro detalhado e revisão posterior obrigatória.

5. Segurança Física

As soluções SaaS da Agnus Cloud são operadas em data centers de provedores cloud certificados que atendem aos mais rigorosos padrões internacionais de segurança física, incluindo:

• Certificações: data centers com certificações como ISO 27001, SOC 2 Type II e PCI DSS, garantindo conformidade com os mais altos padrões de segurança da informação.
• Controle de acesso físico: acesso restrito a pessoal autorizado mediante biometria, cartões de proximidade e acompanhamento por seguranças. Registro de todos os acessos físicos com câmeras de vigilância 24/7.
• Redundância de infraestrutura: sistemas de energia ininterrupta (UPS), geradores de backup, sistemas de climatização redundantes e conectividade de rede diversificada.
• Proteção ambiental: sistemas de detecção e supressão de incêndio, monitoramento de temperatura e umidade, e proteção contra inundações.

6. Responsabilidade Compartilhada

A segurança da informação é uma responsabilidade compartilhada entre a Agnus Cloud e seus clientes. Enquanto a Agnus Cloud é responsável pela segurança das plataformas SaaS e dos serviços que opera, o cliente é responsável por adotar medidas de segurança em seu ambiente, incluindo:

• Proteção de credenciais: o cliente é responsável pela guarda e o sigilo de suas credenciais de acesso (senhas, tokens de API, chaves SSH), devendo utilizar senhas fortes, ativar a autenticação multifator quando disponível e nunca compartilhar credenciais.
• Gestão de acessos: o cliente deve gerenciar adequadamente os acessos de seus usuários, removendo permissões de colaboradores desligados e adotando o princípio do menor privilégio em sua organização.
• Atualização de software: manter atualizados os navegadores, sistemas operacionais e quaisquer softwares utilizados para acessar a plataforma Agnus Cloud.
• Conteúdo e integrações: o cliente é responsável pelo conteúdo inserido nas aplicações e pelas integrações realizadas por meio da plataforma Agnus Cloud, devendo adotar boas práticas de segurança e corrigir eventuais vulnerabilidades sob sua responsabilidade.
• Comunicação de incidentes: o cliente deve comunicar imediatamente à Agnus Cloud qualquer suspeita de comprometimento de credenciais, acesso não autorizado ou incidente de segurança.

7. Reportar Vulnerabilidades

A Agnus Cloud incentiva a divulgação responsável de vulnerabilidades de segurança. Caso você identifique uma vulnerabilidade em nossos sistemas, plataforma ou serviços, solicitamos que reporte de forma responsável por meio do seguinte canal:

E-mail: [email protected]

Ao reportar uma vulnerabilidade, solicitamos que inclua as seguintes informações:

• Descrição detalhada da vulnerabilidade identificada
• Passos para reprodução do problema
• Impacto potencial da vulnerabilidade
• Evidências ou capturas de tela, quando aplicável
• Suas informações de contato para que possamos retornar sobre a análise

A Agnus Cloud compromete-se a analisar todos os relatórios de vulnerabilidade recebidos em tempo hábil e a manter o comunicante informado sobre o andamento da análise e das correções implementadas. Solicitamos que a vulnerabilidade não seja divulgada publicamente até que a correção seja implementada.

8. Contato

Para dúvidas, sugestões ou solicitações relacionadas a esta Política de Segurança, entre em contato conosco:

• Segurança e vulnerabilidades: [email protected]
• Abuso e uso indevido: [email protected]
• Privacidade e Dados Pessoais (DPO): [email protected]
• Compliance: [email protected]
• Suporte técnico: [email protected]

AGNUS CLOUD TECNOLOGIA DA INFORMAÇÃO LTDA
CNPJ: 65.078.751/0001-76
São Paulo - SP - Brasil