Política de Segurança

Nossa arquitetura de segurança é guiada pelos seguintes princípios fundamentais:

• Defesa em Profundidade: múltiplas camadas de controle independentes, de modo que a falha de um controle não comprometa a segurança geral do ambiente.
• Menor Privilégio: todos os acessos são concedidos com o mínimo necessário para o desempenho da função, revisados periodicamente e revogados imediatamente quando não mais necessários.
• Segurança by Design: requisitos de segurança são integrados desde as fases de concepção e arquitetura de sistemas, não como camada adicional posterior.
• Zero Trust: nenhuma entidade — interna ou externa — é implicitamente confiável. Toda autenticação e autorização é verificada continuamente.
• Transparência Responsável: incidentes são comunicados às partes afetadas de forma clara, tempestiva e com orientações objetivas para mitigação.

Infraestrutura

• Ambientes de produção, staging e desenvolvimento rigorosamente isolados.
• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) em todos os dados sensíveis.
• Firewalls de aplicação web (WAF) e sistemas de detecção/prevenção de intrusão (IDS/IPS).
• Monitoramento contínuo de integridade de arquivos (FIM) e análise de logs centralizada (SIEM).
• Backups criptografados, testados periodicamente e armazenados em localização geograficamente distinta.
• Segmentação de rede com VLAN e controle de tráfego leste-oeste por políticas de microsegmentação.

Controle de Acesso

• Autenticação multifator (MFA) obrigatória para todos os acessos administrativos e sistemas críticos.
• Gestão de identidade e acesso (IAM) com revisão trimestral de permissões.
• Acesso privilegiado (PAM) gerenciado com gravação de sessão e auditoria completa.
• Política de senha robusta: mínimo de 16 caracteres, complexidade elevada, renovação semestral e proibição de reutilização das últimas 12 senhas.
• Segregação de funções (SoD) em todas as operações críticas.

Monitoramento e Resposta

• SOC operacional 24 horas por dia, 7 dias por semana, 365 dias por ano.
• Correlação de eventos em tempo real com alertas automáticos classificados por severidade (CVSS).
• Plano de Resposta a Incidentes (PRI) documentado, testado semestralmente via simulações de tabletop e exercícios red/blue team.
• Tempo de detecção (MTTD) e resposta (MTTR) monitorados e reportados mensalmente à liderança.
• Threat hunting proativo baseado em inteligência de ameaças (CTI) e feeds de IoCs atualizados.

A Nexy System mantém um programa formal de gestão de vulnerabilidades com ciclos mensais de varredura automatizada e avaliações manuais periódicas. As vulnerabilidades são classificadas conforme o CVSS v3.1 e tratadas dentro dos seguintes SLAs:

Para relatar uma vulnerabilidade:

• Envie um e-mail para security@nexysystem.com.br com o assunto [VDP] Relato de Vulnerabilidade.
• Inclua: descrição detalhada, passos para reprodução, impacto estimado, evidências (screenshots, logs, PoC) e suas informações de contato.
• Utilize nossa chave PGP pública (disponível sob solicitação) para comunicações que envolvam informações altamente sensíveis.

Nossos compromissos:

• Acuse o recebimento do relato em até 48 horas úteis.
• Forneça uma estimativa de prazo para análise e remediação em até 7 dias corridos.
• Mantenha comunicação regular sobre o progresso da correção.
• Creditamos pesquisadores em nosso Hall of Fame (com autorização explícita).

Fora do escopo deste programa:

• Ataques de negação de serviço (DoS/DDoS).
• Engenharia social contra colaboradores da Nexy System.
• Acesso físico não autorizado às instalações.
• Spam ou ataques de força bruta sem consentimento prévio.

Todo código produzido pela Nexy System segue um ciclo de desenvolvimento seguro (SDL) que inclui:

• Revisão de código (code review) obrigatória por pares antes de qualquer merge em branch de produção.
• Análise estática de segurança (SAST) integrada ao pipeline de CI/CD.
• Análise de composição de software (SCA) para detecção de dependências com CVEs conhecidos.
• Testes de segurança dinâmica (DAST) em ambientes de staging antes de releases.
• Revisão de segurança em mudanças arquiteturais significativas (Threat Modeling).
• Treinamentos periódicos de desenvolvimento seguro (OWASP Top 10, SANS CWE) para toda a equipe técnica.

Todos os fornecedores e parceiros com acesso a sistemas ou dados da Nexy System são submetidos a um processo de due diligence de segurança, incluindo:

• Avaliação de maturidade de segurança baseada em questionário estruturado (SIG Lite / CAIQ).
• Assinatura de Acordo de Confidencialidade (NDA) e cláusulas de segurança específicas no contrato.
• Revisões anuais de conformidade e direito contratual de auditoria.
• Monitoramento contínuo de acessos de terceiros com revogação imediata ao término da relação.

A Nexy System mantém um Plano de Continuidade de Negócios (BCP) e um Plano de Recuperação de Desastres (DRP) documentados e testados semestralmente, com os seguintes objetivos:

• RTO (Recovery Time Objective): retorno operacional em até 4 horas para sistemas críticos.
• RPO (Recovery Point Objective): perda máxima de dados de 1 hora para sistemas críticos.
• Exercícios de failover realizados trimestralmente com documentação de resultados e planos de melhoria.
• Comunicação de crise estruturada com porta-voz designado e templates de notificação pré-aprovados.

A Nexy System orienta suas práticas de segurança conforme os seguintes frameworks e normas:

• ISO/IEC 27001:2022 — Sistema de Gestão de Segurança da Informação.
• NIST Cybersecurity Framework (CSF) 2.0 — Identificar, Proteger, Detectar, Responder, Recuperar.
• OWASP Top 10 — Mitigação dos principais riscos em aplicações web.
• MITRE ATT&CK — Mapeamento de TTPs (Táticas, Técnicas e Procedimentos) adversariais.
• Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018.
• Marco Civil da Internet — Lei nº 12.965/2014.