Política de Segurança

1. Compromisso com a Segurança

A AGNUS CLOUD TECNOLOGIA DA INFORMAÇÃO LTDA (“Agnus Cloud”) reconhece que a segurança da informação é um pilar fundamental para a confiança de seus clientes e para a excelência na prestação de serviços. Esta Política de Segurança descreve as medidas técnicas e organizacionais adotadas para proteger os dados, sistemas e infraestrutura contra ameaças internas e externas.

Nossas práticas de segurança estão alinhadas com as exigências da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), do Marco Civil da Internet (Lei nº 12.965/2014) e com as melhores práticas e frameworks de segurança da informação reconhecidos internacionalmente.

A Agnus Cloud adota uma abordagem de segurança em camadas (defense in depth), implementando múltiplos controles de segurança em diferentes níveis da infraestrutura para garantir a proteção abrangente dos dados e serviços.

2. Medidas de Proteção

A Agnus Cloud implementa um conjunto abrangente de medidas técnicas para garantir a confidencialidade, a integridade e a disponibilidade dos dados e sistemas:

2.1. Criptografia em Trânsito e em Repouso

Todas as comunicações entre os usuários e a plataforma Agnus Cloud são protegidas por criptografia TLS/SSL (Transport Layer Security / Secure Sockets Layer), utilizando protocolos atualizados e cifras robustas para garantir a confidencialidade e a integridade dos dados em trânsito.

Os dados armazenados em nossos sistemas são criptografados em repouso utilizando algoritmos de criptografia AES-256 ou equivalentes, garantindo que, mesmo em caso de acesso não autorizado ao meio de armazenamento físico, os dados permaneçam ilegíveis e protegidos.

2.2. Controle de Acesso Baseado em Roles (RBAC)

A Agnus Cloud implementa um sistema de controle de acesso baseado em funções (Role-Based Access Control — RBAC), que garante que cada colaborador ou sistema tenha acesso apenas aos recursos estritamente necessários para o desempenho de suas atribuições. As políticas de acesso são revisadas periodicamente e atualizadas conforme necessário.

• Autenticação multifator (MFA) obrigatória para acesso a sistemas críticos
• Políticas de senha robustas com requisitos de complexidade e expiração
• Revisão periódica de permissões e revogação imediata de acessos em caso de desligamento
• Segregação de ambientes de desenvolvimento, homologação e produção

2.3. Monitoramento Contínuo 24/7

A infraestrutura da Agnus Cloud é monitorada de forma contínua, 24 horas por dia, 7 dias por semana, utilizando ferramentas de monitoramento e sistemas de detecção de intrusão (IDS/IPS) que permitem a identificação e a resposta rápida a eventos de segurança.

• Monitoramento de disponibilidade e desempenho de serviços em tempo real
• Detecção automatizada de anomalias e comportamentos suspeitos
• Alertas e notificações em tempo real para a equipe de segurança
• Análise contínua de logs para identificação de padrões de ataque

2.4. Backups Regulares com Retenção Configurável

A Agnus Cloud realiza backups regulares de todos os dados críticos, garantindo a possibilidade de recuperação em caso de falhas, incidentes de segurança ou desastres. Os backups são realizados com as seguintes características:

• Backups automatizados com frequência diária, semanal e mensal
• Armazenamento de backups em locais geograficamente distintos (redundância)
• Criptografia dos dados de backup em trânsito e em repouso
• Períodos de retenção configuráveis de acordo com o plano e as necessidades do cliente
• Testes periódicos de restauração para validar a integridade dos backups

2.5. Firewall e Proteção contra DDoS

A plataforma da Agnus Cloud é protegida por múltiplas camadas de firewall e sistemas de mitigação de ataques de negação de serviço distribuída (DDoS), incluindo:

• Firewalls de aplicação web (WAF) para proteção contra ataques na camada de aplicação
• Firewalls de rede com regras de filtragem configuradas para bloquear tráfego malicioso
• Sistemas de mitigação de DDoS com capacidade de absorção de ataques volumétricos
• Listas de bloqueio (blocklists) atualizadas automaticamente com base em inteligência de ameaças

2.6. Atualizações e Patches de Segurança

A Agnus Cloud mantém uma política rigorosa de gestão de vulnerabilidades e aplicação de patches de segurança, que inclui:

• Monitoramento contínuo de vulnerabilidades em sistemas operacionais, bibliotecas e dependências
• Aplicação de patches críticos de segurança em prazo máximo de 48 horas após a divulgação
• Varreduras periódicas de vulnerabilidades em toda a infraestrutura
• Avaliações de segurança e testes de penetração realizados periodicamente
• Processo de gestão de mudanças com avaliação de impacto de segurança

3. Gestão de Incidentes

A Agnus Cloud mantém um Plano de Resposta a Incidentes de Segurança que define procedimentos claros para a detecção, a contenção, a erradicação e a recuperação em caso de incidentes de segurança. O plano contempla as seguintes etapas:

• Detecção e identificação: monitoramento contínuo e análise de eventos para identificação rápida de incidentes de segurança, com classificação por severidade e impacto.
• Contenção: ações imediatas para isolar e conter o incidente, minimizando o impacto sobre dados, sistemas e usuários afetados.
• Erradicação e recuperação: eliminação da causa raiz do incidente, restauração dos sistemas afetados e validação da integridade dos dados.
• Comunicação ao titular: em conformidade com o art. 48 da LGPD, a Agnus Cloud comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, em prazo razoável, informando a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas.
• Análise pós-incidente: investigação detalhada para identificar lições aprendidas e implementar melhorias nos controles de segurança, prevenindo a recorrência de incidentes similares.

4. Acesso aos Dados

A Agnus Cloud adota o princípio do menor privilégio (least privilege) como diretriz fundamental para o controle de acesso aos dados e sistemas. Isso significa que cada colaborador, sistema ou processo recebe apenas as permissões estritamente necessárias para o desempenho de suas funções específicas.

• Logs de auditoria: todos os acessos a dados pessoais e a sistemas críticos são registrados em logs de auditoria imutáveis, contendo informações sobre o usuário, a data/hora, a ação realizada e os dados acessados. Os logs são armazenados por período mínimo de 12 (doze) meses.
• Revisão periódica: as permissões de acesso são revisadas trimestralmente pela equipe de segurança, com remoção imediata de acessos desnecessários ou excessivos.
• Rastreabilidade: todas as operações realizadas em dados pessoais são rastreáveis, permitindo a identificação do responsável por qualquer ação em caso de auditoria ou investigação.
• Acesso de emergência: procedimentos específicos de break-glass para situações de emergência, com registro detalhado e revisão posterior obrigatória.

5. Segurança Física

A infraestrutura da Agnus Cloud é hospedada em data centers de provedores certificados que atendem aos mais rigorosos padrões internacionais de segurança física, incluindo:

• Certificações: data centers com certificações como ISO 27001, SOC 2 Type II e PCI DSS, garantindo conformidade com os mais altos padrões de segurança da informação.
• Controle de acesso físico: acesso restrito a pessoal autorizado mediante biometria, cartões de proximidade e acompanhamento por seguranças. Registro de todos os acessos físicos com câmeras de vigilância 24/7.
• Redundância de infraestrutura: sistemas de energia ininterrupta (UPS), geradores de backup, sistemas de climatização redundantes e conectividade de rede diversificada.
• Proteção ambiental: sistemas de detecção e supressão de incêndio, monitoramento de temperatura e umidade, e proteção contra inundações.

6. Responsabilidade Compartilhada

A segurança da informação é uma responsabilidade compartilhada entre a Agnus Cloud e seus clientes. Enquanto a Agnus Cloud é responsável pela segurança da infraestrutura, da plataforma e dos serviços, o cliente é responsável por adotar medidas de segurança em seu ambiente, incluindo:

• Proteção de credenciais: o cliente é responsável pela guarda e o sigilo de suas credenciais de acesso (senhas, tokens de API, chaves SSH), devendo utilizar senhas fortes, ativar a autenticação multifator quando disponível e nunca compartilhar credenciais.
• Gestão de acessos: o cliente deve gerenciar adequadamente os acessos de seus usuários, removendo permissões de colaboradores desligados e adotando o princípio do menor privilégio em sua organização.
• Atualização de software: manter atualizados os navegadores, sistemas operacionais e quaisquer softwares utilizados para acessar a plataforma Agnus Cloud.
• Conteúdo e aplicações: o cliente é responsável pela segurança das aplicações e do conteúdo hospedados na infraestrutura da Agnus Cloud, incluindo a adoção de boas práticas de desenvolvimento seguro e a correção de vulnerabilidades em suas aplicações.
• Comunicação de incidentes: o cliente deve comunicar imediatamente à Agnus Cloud qualquer suspeita de comprometimento de credenciais, acesso não autorizado ou incidente de segurança.

7. Reportar Vulnerabilidades

A Agnus Cloud incentiva a divulgação responsável de vulnerabilidades de segurança. Caso você identifique uma vulnerabilidade em nossos sistemas, plataforma ou serviços, solicitamos que reporte de forma responsável por meio do seguinte canal:

E-mail: [email protected]

Ao reportar uma vulnerabilidade, solicitamos que inclua as seguintes informações:

• Descrição detalhada da vulnerabilidade identificada
• Passos para reprodução do problema
• Impacto potencial da vulnerabilidade
• Evidências ou capturas de tela, quando aplicável
• Suas informações de contato para que possamos retornar sobre a análise

A Agnus Cloud compromete-se a analisar todos os relatórios de vulnerabilidade recebidos em tempo hábil e a manter o comunicante informado sobre o andamento da análise e das correções implementadas. Solicitamos que a vulnerabilidade não seja divulgada publicamente até que a correção seja implementada.

8. Contato

Para dúvidas, sugestões ou solicitações relacionadas a esta Política de Segurança, entre em contato conosco:

• Segurança e vulnerabilidades: [email protected]
• Abuso e uso indevido: [email protected]
• Privacidade e Dados Pessoais (DPO): [email protected]
• Compliance: [email protected]
• Suporte técnico: [email protected]

AGNUS CLOUD TECNOLOGIA DA INFORMAÇÃO LTDA
CNPJ: 65.078.751/0001-76
São Paulo - SP - Brasil