Documento Legal
Política de Segurança da Informação
Última atualização: 1 de julho de 2026
A segurança dos dados é pilar fundamental da EverbeautyOS. Adotamos práticas alinhadas às normas ISO/IEC 27001, ISO/IEC 27701, SOC 2, NIST Cybersecurity Framework, além dos requisitos da LGPD e do GDPR.
1. Criptografia
- Dados em trânsito protegidos por TLS 1.2+.
- Dados em repouso criptografados com AES-256.
- Segredos e chaves gerenciados via cofres dedicados (KMS/Vault).
2. Controle de Acesso
- Princípios de menor privilégio e necessidade de saber.
- Controle de acesso baseado em função (RBAC).
- Autenticação multifator (MFA) obrigatória para acessos administrativos.
- Revisão periódica de acessos e desprovisionamento imediato em desligamentos.
3. Infraestrutura e Hospedagem
- Infraestrutura em provedores de nuvem tier-1 com certificações ISO 27001, SOC 2 e PCI-DSS.
- Segmentação de redes, firewalls e proteção contra DDoS.
- Backups automáticos com testes periódicos de restauração.
- Redundância multi-zona e plano de continuidade de negócios (BCP/DRP).
4. Desenvolvimento Seguro (SSDLC)
- Code review obrigatório e análise estática (SAST) no pipeline CI/CD.
- Análise de dependências (SCA) e correção de vulnerabilidades conhecidas.
- Testes de segurança dinâmicos (DAST) e pentests periódicos por terceiros independentes.
- Gestão de vulnerabilidades com SLA por severidade (Crítica 24h · Alta 7d · Média 30d).
5. Monitoramento e Auditoria
- Logs centralizados de acesso, aplicação e infraestrutura.
- SIEM e detecção de anomalias 24×7.
- Trilhas de auditoria imutáveis para operações sensíveis.
6. Gestão de Fornecedores
Subprocessadores passam por avaliação de segurança e privacidade antes da contratação, com assinatura de acordos de tratamento de dados (DPA) e cláusulas contratuais padrão quando houver transferência internacional.
7. Resposta a Incidentes
Mantemos um plano formal de resposta a incidentes com detecção, contenção, erradicação, recuperação e lições aprendidas. Incidentes que possam acarretar risco ou dano relevante aos titulares serão comunicados à ANPD e aos titulares em prazo razoável, conforme art. 48 da LGPD.
8. Continuidade de Negócios
- RPO (Recovery Point Objective): até 15 minutos.
- RTO (Recovery Time Objective): até 4 horas para funções críticas.
- Testes de contingência realizados semestralmente.
9. Privacidade desde a Concepção
Adotamos Privacy by Design e Privacy by Default: privacidade e segurança são consideradas desde a concepção de qualquer novo produto ou funcionalidade.
10. Programa de Divulgação Responsável
Pesquisadores e usuários que identificarem vulnerabilidades podem reportar de forma confidencial para security@everbeautyos.com. Comprometemo-nos a analisar, responder e — quando aplicável — reconhecer publicamente a contribuição, desde que respeitados os princípios de divulgação responsável (não exploração, não vazamento de dados de terceiros).
11. Contato
Dúvidas de segurança: security@everbeautyos.com · Privacidade e LGPD: dpo@everbeautyos.com.
Encarregado de Dados (DPO)
Para exercer direitos previstos na LGPD, dúvidas de privacidade ou reportar incidentes de segurança, entre em contato pelo e-mail dpo@everbeautyos.com.
