Documento Legal

Política de Segurança da Informação

Última atualização: 1 de julho de 2026

A segurança dos dados é pilar fundamental da EverbeautyOS. Adotamos práticas alinhadas às normas ISO/IEC 27001, ISO/IEC 27701, SOC 2, NIST Cybersecurity Framework, além dos requisitos da LGPD e do GDPR.

1. Criptografia

  • Dados em trânsito protegidos por TLS 1.2+.
  • Dados em repouso criptografados com AES-256.
  • Segredos e chaves gerenciados via cofres dedicados (KMS/Vault).

2. Controle de Acesso

  • Princípios de menor privilégio e necessidade de saber.
  • Controle de acesso baseado em função (RBAC).
  • Autenticação multifator (MFA) obrigatória para acessos administrativos.
  • Revisão periódica de acessos e desprovisionamento imediato em desligamentos.

3. Infraestrutura e Hospedagem

  • Infraestrutura em provedores de nuvem tier-1 com certificações ISO 27001, SOC 2 e PCI-DSS.
  • Segmentação de redes, firewalls e proteção contra DDoS.
  • Backups automáticos com testes periódicos de restauração.
  • Redundância multi-zona e plano de continuidade de negócios (BCP/DRP).

4. Desenvolvimento Seguro (SSDLC)

  • Code review obrigatório e análise estática (SAST) no pipeline CI/CD.
  • Análise de dependências (SCA) e correção de vulnerabilidades conhecidas.
  • Testes de segurança dinâmicos (DAST) e pentests periódicos por terceiros independentes.
  • Gestão de vulnerabilidades com SLA por severidade (Crítica 24h · Alta 7d · Média 30d).

5. Monitoramento e Auditoria

  • Logs centralizados de acesso, aplicação e infraestrutura.
  • SIEM e detecção de anomalias 24×7.
  • Trilhas de auditoria imutáveis para operações sensíveis.

6. Gestão de Fornecedores

Subprocessadores passam por avaliação de segurança e privacidade antes da contratação, com assinatura de acordos de tratamento de dados (DPA) e cláusulas contratuais padrão quando houver transferência internacional.

7. Resposta a Incidentes

Mantemos um plano formal de resposta a incidentes com detecção, contenção, erradicação, recuperação e lições aprendidas. Incidentes que possam acarretar risco ou dano relevante aos titulares serão comunicados à ANPD e aos titulares em prazo razoável, conforme art. 48 da LGPD.

8. Continuidade de Negócios

  • RPO (Recovery Point Objective): até 15 minutos.
  • RTO (Recovery Time Objective): até 4 horas para funções críticas.
  • Testes de contingência realizados semestralmente.

9. Privacidade desde a Concepção

Adotamos Privacy by Design e Privacy by Default: privacidade e segurança são consideradas desde a concepção de qualquer novo produto ou funcionalidade.

10. Programa de Divulgação Responsável

Pesquisadores e usuários que identificarem vulnerabilidades podem reportar de forma confidencial para security@everbeautyos.com. Comprometemo-nos a analisar, responder e — quando aplicável — reconhecer publicamente a contribuição, desde que respeitados os princípios de divulgação responsável (não exploração, não vazamento de dados de terceiros).

11. Contato

Dúvidas de segurança: security@everbeautyos.com · Privacidade e LGPD: dpo@everbeautyos.com.

Encarregado de Dados (DPO)

Para exercer direitos previstos na LGPD, dúvidas de privacidade ou reportar incidentes de segurança, entre em contato pelo e-mail dpo@everbeautyos.com.