Política de Sistemas e Aplicativos

X3 Promotora LTDA – CNPJ 49.047.755/0001-30

1. Introdução

Esta política estabelece diretrizes para garantir a segurança da informação, a privacidade e a integridade dos sistemas e aplicativos utilizados pela X3 Promotora, protegendo os dados contra acessos não autorizados, vazamentos, fraudes e outras ameaças cibernéticas, bem como garantindo a conformidade com legislações e padrões aplicáveis.

2. Escopo

Esta política se aplica a todos os sistemas internos, aplicativos móveis, plataformas web e ferramentas tecnológicas utilizadas pela X3 Promotora, abrangendo:

Colaboradores, fornecedores, negociações de serviços e terceiros com acesso autorizado;
Dados armazenados, processados e transmitidos, incluindo informações pessoais, corporativas e de privacidade;
Processos de concepção, desenvolvimento, teste, manutenção e operação das plataformas.

3. Princípios de Segurança da Informação

Os sistemas e aplicativos da X3 Promotora devem ser projetados, desenvolvidos e gerenciados com base nos seguintes princípios:

Confidencialidade: Protege os dados contra acessos não autorizados;
Integridade: Garantir que os dados não sejam alterados ou corrompidos de forma indevida ou não bloqueados;
Disponibilidade: Assegurar acesso contínuo e confiável para usuários autorizados;
Autenticidade: Validar a identidade de usuários, sistemas e dispositivos;
Minimização de Dados: Coletar e armazenar apenas os dados necessários às finalidades definidas;
Rastreabilidade: Garantir que todas as ações dos nossos sistemas sejam registradas e auditáveis;
Conformidade: Atender às leis, normas e regulamentações aplicáveis.

4. Controle de Acesso

O controle de acesso aos sistemas da X3 Promotora deve seguir os seguintes critérios:

Princípio do menor privilégio e da necessidade de conhecimento;
Autenticação multifator (MFA) obrigatória para acessos sensíveis;
Senhas com no mínimo 12 caracteres, incluindo letras secretas, minúsculas, números e caracteres especiais, com troca periódica (ex.: a cada 90 dias);
Registros de auditoria devem registrar acessos, operações críticas e tentativas de login, com dados, hora e identificação do usuário, armazenados conforme política de retenção;
Contas inativas ou de ex-colaboradores deverão ser desativadas ou removidas em até 24 horas após o término do vínculo.

5. Segurança no Desenvolvimento e Implementação

O desenvolvimento de software (aplicativos ou aplicações web) na X3 Promotora deve seguir as seguintes diretrizes:

Adoção de metodologias como DevSecOps e Secure by Design;
Revisões regulares de código (code review) e análises automatizadas (ex.: SAST, DAST);
Validação e atualização de dependências de terceiros contra vulnerabilidades conhecidas (ex.: CVEs);
Implementação de medidas contra ataques como SQL Injection, XSS, CSRF, injeção de comandos e força bruta;
Segregação de ambientes de desenvolvimento, teste e produção, com controles de acesso distintos.

6. Proteção Contra Ameaças e Vazamento de Dados

A X3 Promotora adota medidas robustas para prevenir ameaças e vazamentos de dados, incluindo:

Criptografia AES-256 para dados em segurança e TLS 1.2 ou superior para dados em trânsito;
Utilização de IDS/IPS, firewalls de próxima geração (NGFW) e soluções antimalware (ex.: EDR);
Análise proativa de logs com ferramentas como SIEM;
Backups criptografados regularmente, armazenados em locais seguros e testados periodicamente;
Campanhas internas de conscientização sobre phishing e engenharia social.

7. Gestão de Incidentes e Resposta a Ataques Cibernéticos

A X3 Promotora possui um Plano de Resposta a Incidentes (PRI), que contempla:

Etapas de identificação, contenção, erradicação e recuperação de incidentes;
Testes periódicos (ao menos anuais) do plano;
Reporte de incidentes ao DPO e à equipe de segurança em até 4 horas;
Notificação às autoridades competentes (ex.: ANPD) dentro dos prazos legais;
Auditorias independentes para avaliação dos controles;
Análises pós-incidente (Post-Mortem) para identificação de causas e melhorias.

8. Atualizações e Manutenção

A X3 Promotora realiza atualizações e manutenções regulares para garantir a segurança e o desempenho dos sistemas:

Aplicação de patches de segurança em até 30 dias após lançamento, salvo criticidade que exija ação imediata;
Avaliações de risco em cada fase do ciclo de vida seguro do software (SDLC).

9. Conformidade com Legislação e Regulamentos

A X3 Promotora está comprometida com a conformidade legal e regulatória, incluindo:

Atendimento à LGPD e demais normas aplicáveis, com documentação comprobatória;
Apresentação do Termo de Privacidade e Consentimento claro aos usuários;
Atendimento aos direitos dos titulares (acesso, retificação, exclusão) em até 15 dias após solicitação.

10. Treinamento e Conscientização

A X3 Promotora promove treinamentos periódicos para seus colaboradores:

Treinamento anual sobre segurança da informação, com reciclagem após incidentes graves;
Capacitação de usuários finais em boas práticas (senhas de segurança, identificação de phishing, uso responsável de dispositivos);
Simulações de phishing realizadas periodicamente.

11. Penalidades e Responsabilidades

Violações desta política podem resultar em avaliações disciplinares (advertência, suspensão), bloqueio de acesso ou ações legais;
Todos os colaboradores, terceiros e fornecedores devem assinar um Termo de Responsabilidade antes de acessar os sistemas;
A responsabilidade por incidentes causados por negligência será atribuída ao infrator.

12. Revisão e Atualização da Política

Esta política será revisada anualmente ou sempre que houver mudanças significativas em sistemas, processos ou regulamentações, com aprovação formal da alta gestão da X3 Promotora.