• Confidencialidade — informacao acessivel apenas a quem tem autorizacao formal e necessidade tecnica
• Integridade — dados protegidos contra alteracao indevida; auditoria de mudancas
• Disponibilidade — sistemas estaveis com SLA, backups verificados, plano de continuidade
• Auditabilidade — toda acao critica registrada em audit log imutavel por 5 anos minimo
• Privacidade desde a concepcao (Privacy by Design) — protecao incorporada na arquitetura
• Minimizacao — coletamos e armazenamos apenas o estritamente necessario (LGPD Art. 6, III)

• · Funcionarios assinam termo de confidencialidade (NDA) no onboarding
• · Clausula de sigilo no contrato de trabalho com vigencia pos-rescisao
• · Treinamento LGPD e seguranca obrigatorio anual (4 horas)
• · Reciclagem em mudanca de funcao ou apos incidente relevante
• · Acesso por principio de menor privilegio
• · Revisao trimestral de permissoes ativas
• · Backup diario testado mensalmente em ambiente isolado
• · Plano de continuidade de negocios (BCP) documentado e testado anualmente
• · Gestao de credenciais via cofre seguro (1Password / equivalente)
• · Workflows de offboarding revogam todos os acessos em 24h apos saida
• · Auditoria interna trimestral em areas de alto risco
• · Auditoria externa anual independente (SOC 2 / ISO 27001 quando alcancarmos certificacao)

1. Deteccao — alertas automaticos, monitoramento, denuncias
2. Triagem — Compliance Officer + CTO classificam severidade
3. Contencao — isolar sistemas comprometidos, revogar credenciais
4. Erradicacao — eliminar causa raiz
5. Recuperacao — restaurar operacao com seguranca verificada
6. Notificacao — autoridades (ANPD em 72h se aplicavel) + titulares afetados
7. Postmortem — analise causal documentada, melhorias implementadas

Tempo de resposta meta: 2h para incidentes criticos, 24h para incidentes altos.

Esta politica complementa nossa Politica de Privacidade. Em incidente envolvendo dados pessoais:

• · Comunicacao a ANPD em ate 72h (Art. 48 LGPD)
• · Notificacao aos titulares afetados
• · Detalhamento de natureza, escopo, riscos, medidas adotadas
• · Cooperacao integral com investigacao da autoridade

• · Due diligence de seguranca (questionario + evidencias)
• · Assinatura de DPA (Data Processing Agreement) quando trata dados pessoais
• · Clausulas contratuais de seguranca minima
• · Direito de auditoria pela AUREUM
• · Notificacao obrigatoria de incidentes em ate 24h
• · Reavaliacao anual ou apos incidente

• · Permitido para acesso a e-mail, calendario, mensagens
• · Vedado para download de bases de clientes ou dados sensiveis
• · Senha forte obrigatoria + biometria recomendada
• · Antivirus atualizado em PCs/laptops
• · Encryption full-disk recomendada
• · Comunicacao imediata em caso de perda/furto
• · AUREUM pode exigir wipe remoto de dados corporativos em caso de saida ou incidente

• · Onboarding de seguranca: 4 horas no primeiro mes
• · Reciclagem anual: 2 horas
• · Phishing simulado trimestral (testar resiliencia)
• · Security newsletter mensal com casos e boas praticas
• · Cultura de "responsabilidade compartilhada" — qualquer um pode (e deve) reportar suspeita

Pra pesquisadores de seguranca: temos politica de divulgacao responsavel. Contate seguranca@aureum.com.br antes de qualquer divulgacao publica.