Voltar ao início

Política de Segurança

Última atualização: Janeiro de 2024

A Cynos Security estabelece esta Política de Segurança para garantir a proteção máxima dos dados, sistemas e informações de nossos clientes. Nossa abordagem de segurança é baseada em padrões internacionais e melhores práticas do setor.

1. Compromisso com a Segurança

A Cynos se compromete a:

  • Manter os mais altos padrões de segurança da informação
  • Proteger a confidencialidade, integridade e disponibilidade dos dados
  • Implementar controles de segurança baseados em risco
  • Melhorar continuamente nossa postura de segurança
  • Cumprir com todas as regulamentações e normas aplicáveis

2. Frameworks e Padrões Adotados

Nossa política de segurança está alinhada com os seguintes frameworks e padrões:

ISO 27001 NIST Cybersecurity Framework OWASP Top 10 CIS Controls MITRE ATT&CK PCI-DSS LGPD GDPR

3. Controles de Segurança Técnicos

3.1 Segurança de Rede

  • Firewalls de próxima geração (NGFW) com inspeção profunda de pacotes
  • Sistemas de detecção e prevenção de intrusões (IDS/IPS)
  • Segmentação de rede e implementação de DMZ
  • VPN com criptografia forte para acesso remoto
  • Monitoramento contínuo de tráfego de rede

3.2 Segurança de Endpoint

  • Endpoint Detection and Response (EDR)
  • Antivírus e anti-malware de última geração
  • Controle de aplicações e whitelisting
  • Criptografia de disco completo
  • Gestão centralizada de patches e atualizações

3.3 Segurança de Aplicações

  • Secure Software Development Lifecycle (SSDLC)
  • Análise estática e dinâmica de código (SAST/DAST)
  • Web Application Firewall (WAF)
  • Testes de penetração regulares
  • Revisão de código e modelagem de ameaças

4. Controles de Segurança Administrativos

4.1 Gestão de Acessos

  • Princípio do menor privilégio
  • Autenticação multifator (MFA) obrigatória
  • Single Sign-On (SSO) com protocolos seguros
  • Revisão periódica de acessos e permissões
  • Segregação de funções (SoD)

4.2 Gestão de Identidades

  • Identity and Access Management (IAM) centralizado
  • Provisionamento e desprovisionamento automatizado
  • Políticas de senha forte e rotação regular
  • Monitoramento de contas privilegiadas (PAM)

5. Segurança de Dados

5.1 Criptografia

  • AES-256 para dados em repouso
  • TLS 1.3 para dados em trânsito
  • Gestão segura de chaves criptográficas (HSM)
  • Criptografia de backups e arquivos sensíveis

5.2 Classificação e Tratamento

  • Classificação de dados por criticidade
  • Data Loss Prevention (DLP)
  • Mascaramento e anonimização de dados sensíveis
  • Controles de retenção e destruição segura

6. Resposta a Incidentes

Nosso processo de resposta a incidentes segue as seguintes fases:

  • Preparação: Equipe treinada e ferramentas prontas
  • Detecção e Análise: Monitoramento e triagem de alertas
  • Contenção: Isolamento rápido de ameaças
  • Erradicação: Remoção completa da ameaça
  • Recuperação: Restauração segura de operações
  • Lições Aprendidas: Análise post-mortem e melhorias

7. Continuidade de Negócios

  • Plano de Continuidade de Negócios (BCP) documentado
  • Plano de Recuperação de Desastres (DRP) testado
  • Backups regulares com teste de restauração
  • Redundância de sistemas críticos
  • RTO e RPO definidos e monitorados

8. Segurança Física

  • Controle de acesso físico às instalações
  • CCTV e monitoramento de segurança
  • Proteção ambiental (temperatura, umidade, incêndio)
  • Destruição segura de mídias e equipamentos
  • Áreas seguras para equipamentos críticos

9. Segurança de Terceiros

  • Due diligence de segurança para fornecedores
  • Acordos de confidencialidade (NDA)
  • Requisitos de segurança em contratos
  • Monitoramento de conformidade de terceiros
  • Gestão de riscos da cadeia de suprimentos

10. Treinamento e Conscientização

  • Programa de conscientização em segurança para todos os colaboradores
  • Treinamentos especializados para equipe técnica
  • Simulações de phishing e engenharia social
  • Atualizações regulares sobre ameaças emergentes
  • Certificações profissionais incentivadas

11. Auditoria e Compliance

  • Auditorias internas regulares
  • Testes de penetração por terceiros independentes
  • Avaliações de vulnerabilidade contínuas
  • Monitoramento de conformidade regulatória
  • Relatórios de segurança para stakeholders

12. Métricas e KPIs de Segurança

Monitoramos continuamente os seguintes indicadores:

  • Tempo médio de detecção (MTTD)
  • Tempo médio de resposta (MTTR)
  • Taxa de falsos positivos
  • Cobertura de patches críticos
  • Score de maturidade de segurança
  • Número de incidentes por severidade

13. Divulgação Responsável

Encorajamos a divulgação responsável de vulnerabilidades:

  • Canal dedicado para reportar vulnerabilidades: security@cynos.io
  • Resposta inicial em até 48 horas
  • Coordenação para correção e divulgação
  • Reconhecimento aos pesquisadores (com consentimento)

14. Atualizações da Política

Esta política é revisada anualmente ou sempre que houver mudanças significativas em nosso ambiente de ameaças, tecnologia ou requisitos regulatórios. Todas as atualizações são comunicadas aos stakeholders relevantes.

15. Contato de Segurança

Para questões relacionadas à segurança, entre em contato:

  • Security Operations Center (SOC): soc@cynos.io
  • Chief Information Security Officer (CISO): ciso@cynos.io
  • Incidentes de Segurança: incident@cynos.io
  • Divulgação de Vulnerabilidades: security@cynos.io