Política de Segurança da Informação (PSI)
Codigo: POL-SI-001 Versao: 1.0 Aprovacao: 01 de dezembro de 2025 Classificacao: Uso Interno
1. Objetivo
Estabelecer diretrizes, responsabilidades e controles para garantir a confidencialidade, integridade e disponibilidade das informacoes e sistemas da iScholar Tecnologia Educacional Ltda, assegurando a protecao adequada dos dados pessoais conforme a LGPD.
2. Escopo
Esta política aplica-se a:
- Todos os ativos de informação da empresa
- Todos os colaboradores, prestadores e terceiros com acesso
- Todos os ambientes: físicos, lógicos e em nuvem
- Todo o ciclo de vida da informação
3. Diretrizes Gerais
3.1 Classificação da Informação
| Classificação | Descrição | Exemplos | Controles |
|---|---|---|---|
| Pública | Pode ser divulgada externamente | Website, materiais de marketing | Nenhum especial |
| Interna | Uso interno, sem impacto se divulgada | Comunicados gerais, políticas | Acesso interno |
| Confidencial | Impacto moderado se divulgada | Contratos, dados financeiros | Acesso restrito |
| Restrita | Alto impacto se divulgada | Dados pessoais, senhas, chaves | Criptografia, acesso mínimo |
3.2 Dados Pessoais
Todos os dados pessoais são classificados como Confidencial ou Restrita, com controles adicionais:
- Dados sensíveis: Restrita
- Dados de menores: Restrita
- Dados de saúde: Restrita
- Demais dados pessoais: Confidencial
4. Controle de Acesso
4.1 Princípios
- Menor privilégio: Acesso apenas ao necessário para a função
- Necessidade de conhecer: Acesso baseado em necessidade demonstrada
- Segregação de funções: Separação de responsabilidades críticas
4.2 Gestão de Identidades
| Processo | Responsável | Prazo |
|---|---|---|
| Criação de acesso | RH + TI | Até 1 dia útil |
| Revisão de acessos | Gestor + TI | Trimestral |
| Revogação por desligamento | RH + TI | Imediato |
| Revogação por mudança de função | RH + TI | Até 1 dia útil |
4.3 Autenticação
| Requisito | Usuários comuns | Administradores | Acesso externo |
|---|---|---|---|
| Senha complexa | Sim | Sim | Sim |
| Comprimento mínimo | 10 caracteres | 14 caracteres | 12 caracteres |
| MFA | Recomendado | Obrigatório | Obrigatório |
| Expiração | 90 dias | 60 dias | 60 dias |
| Bloqueio por tentativas | 5 tentativas | 3 tentativas | 3 tentativas |
4.4 Senhas - Regras
- Não utilizar senhas anteriores (últimas 12)
- Não utilizar informações pessoais (nome, data de nascimento)
- Não compartilhar senhas
- Não anotar senhas em locais visíveis
- Utilizar gerenciador de senhas corporativo
5. Criptografia
5.1 Dados em Trânsito
| Protocolo | Versão Mínima | Uso |
|---|---|---|
| TLS | 1.2 (preferencialmente 1.3) | Todas as comunicações web |
| SSH | 2 | Acesso a servidores |
| SFTP/SCP | - | Transferência de arquivos |
5.2 Dados em Repouso
| Tipo de Dado | Requisito |
|---|---|
| Bancos de dados de produção | Criptografia AES-256 |
| Backups | Criptografia AES-256 |
| Dispositivos móveis | Criptografia de disco completo |
| Dados sensíveis em aplicação | Criptografia em nível de campo |
5.3 Gestão de Chaves
- Chaves armazenadas em HSM ou serviço de gerenciamento de chaves
- Rotação de chaves conforme política específica
- Separação entre chaves de ambientes (produção/desenvolvimento)
- Backup seguro de chaves
6. Segurança de Rede
6.1 Perímetro
- Firewall em todas as fronteiras de rede
- IDS/IPS para detecção de intrusões
- Segmentação de redes (produção, desenvolvimento, administrativa)
- DMZ para serviços externos
6.2 Acesso Remoto
- VPN obrigatória para acesso à rede interna
- MFA obrigatório para VPN
- Split tunneling desabilitado para tráfego corporativo
- Timeout de sessão configurado
6.3 Wi-Fi
| Rede | Uso | Segurança |
|---|---|---|
| Corporativa | Colaboradores | WPA3/WPA2-Enterprise |
| Visitantes | Terceiros | Rede isolada, acesso limitado |
7. Segurança de Sistemas
7.1 Desenvolvimento Seguro
- SDLC seguro (Security by Design)
- Code review obrigatório
- SAST/DAST em pipeline CI/CD
- Testes de segurança antes de produção
- Gestão de dependências e vulnerabilidades
7.2 Gestão de Vulnerabilidades
| Severidade | SLA para Correção |
|---|---|
| Crítica | 24 horas |
| Alta | 7 dias |
| Média | 30 dias |
| Baixa | 90 dias |
7.3 Atualizações (Patching)
- Patches de segurança críticos: até 72 horas
- Patches regulares: ciclo mensal
- Sistemas legados: plano de mitigação documentado
8. Segurança de Endpoints
8.1 Estações de Trabalho
- Antimalware atualizado e ativo
- Firewall local ativo
- Criptografia de disco (BitLocker/FileVault)
- Atualizações automáticas habilitadas
- Bloqueio automático após inatividade (5 minutos)
8.2 Dispositivos Móveis
- MDM (Mobile Device Management) obrigatório
- Criptografia de dispositivo
- Capacidade de limpeza remota
- Não permitir dispositivos com jailbreak/root
- PIN/biometria obrigatórios
8.3 BYOD (Dispositivos Pessoais)
- Consultar Política de Trabalho Remoto e BYOD
- Acesso limitado via MDM ou ambiente virtual
- Dados corporativos em container separado
- Consentimento do colaborador para gerenciamento
9. Backup e Recuperação
9.1 Política de Backup
| Tipo | Frequencia | Retencao | Localizacao |
|---|---|---|---|
| Completo | Diario | 10 dias | AWS Cloud (EUA) |
| Banco de dados | Diario | 10 dias | AWS Cloud (EUA) |
Politica de Backup
A iScholar realiza backup diario do banco de dados, mantendo os ultimos 10 dias salvos. O horario de backup e definido pela equipe de TI para minimizar impacto na operacao.
9.2 Testes de Recuperação
- Teste de restauração: Mensal (amostragem)
- Teste completo de DR: Semestral
- Documentação de procedimentos de recuperação
- RTO/RPO definidos por sistema
10. Monitoramento e Logs
10.1 Eventos a Registrar
- Autenticações (sucesso e falha)
- Acessos a dados pessoais
- Alterações em configurações de segurança
- Atividades administrativas
- Acessos a sistemas críticos
10.2 Retenção de Logs
| Tipo de Log | Retenção Mínima |
|---|---|
| Logs de acesso a dados pessoais | 6 meses |
| Logs de segurança | 12 meses |
| Logs de auditoria | 5 anos |
10.3 Monitoramento
- SIEM para correlação de eventos
- Alertas para eventos de segurança
- Revisão periódica de logs
- Dashboard de segurança
11. Gestão de Incidentes de Segurança
11.1 Classificação
| Severidade | Descrição | Exemplos |
|---|---|---|
| Crítica | Impacto severo, vazamento confirmado | Ransomware, vazamento de dados pessoais |
| Alta | Impacto significativo, ameaça iminente | Intrusão detectada, malware ativo |
| Média | Impacto moderado, contido | Tentativas de ataque bloqueadas |
| Baixa | Impacto mínimo | Violações de política menores |
11.2 Fluxo de Resposta
Detecção → Triagem → Contenção → Erradicação → Recuperação → Lições Aprendidas
11.3 Comunicação
- Incidentes com dados pessoais: Comunicar DPO imediatamente
- Seguir Procedimento de Gestão de Incidentes
- Documentar todas as ações
12. Segurança Física
12.1 Controle de Acesso Físico
- Áreas restritas com controle de acesso (crachá, biometria)
- Registro de entrada/saída de visitantes
- Acompanhamento obrigatório de visitantes
- CFTV em áreas críticas
12.2 Data Center / Sala de Servidores
- Acesso restrito a pessoal autorizado
- Controle de temperatura e umidade
- Sistemas de combate a incêndio
- Nobreak e gerador
- Logs de acesso físico
13. Continuidade de Negócios
13.1 Plano de Continuidade
- BIA (Business Impact Analysis) documentado
- Planos de contingência por sistema crítico
- Definição de RTO e RPO
- Testes periódicos
13.2 Ambientes de Contingência
- Ambiente de DR configurado
- Failover automatizado para sistemas críticos
- Documentação de procedimentos de ativação
14. Conscientização e Treinamento
14.1 Programa de Conscientização
- Treinamento de segurança na admissão
- Reciclagem anual obrigatória
- Simulações de phishing trimestrais
- Comunicações periódicas sobre ameaças
14.2 Métricas
- Taxa de conclusão de treinamentos
- Taxa de clique em simulações de phishing
- Número de incidentes reportados
15. Conformidade e Auditoria
15.1 Auditorias
- Auditoria interna de segurança: Anual
- Pentest externo: Anual
- Scan de vulnerabilidades: Mensal
- Revisão de acessos: Trimestral
15.2 Certificacoes
| Certificacao | Status | Previsao |
|---|---|---|
| ISO 27001 | Em planejamento | A definir |
| ISO 27701 | Em planejamento (apos ISO 27001) | A definir |
| SOC 2 | Nao possui | A avaliar |
Infraestrutura
Os dados sao hospedados na Amazon Web Services (AWS), que possui certificacoes ISO 27001, SOC 2, entre outras normas internacionais de seguranca.
16. Responsabilidades
| Função | Responsabilidade |
|---|---|
| Diretoria | Aprovar política, alocar recursos |
| Segurança da Informação | Implementar controles, monitorar |
| TI | Implementar controles técnicos |
| Gestores | Garantir conformidade na área |
| Colaboradores | Cumprir política, reportar incidentes |
| DPO | Interface com aspectos de privacidade |
17. Exceções
Exceções a esta política devem ser:
- Justificadas por escrito
- Aprovadas pelo Gestor de Segurança da Informação
- Aprovadas pelo DPO (se envolver dados pessoais)
- Documentadas com prazo de validade
- Revisadas periodicamente
18. Sanções
O descumprimento desta política pode resultar em medidas disciplinares, conforme Política de Privacidade Interna e regulamento interno.
Aprovacao
| Funcao | Nome | Assinatura | Data |
|---|---|---|---|
| Diretor de Tecnologia | Pedro Henrique Rosa Barbosa | _____________ | 15/12/2025 |
| DPO | Pedro Henrique Rosa Barbosa | _____________ | 15/12/2025 |
Historico de Revisoes
| Versao | Data | Autor | Descricao |
|---|---|---|---|
| 1.0 | 15/12/2025 | Pedro Henrique Rosa Barbosa | Versao inicial |