Segurança da Informação

Última atualização: Janeiro de 2025

1. Introdução

A FC Integra Soluções Tecnológicas ("FC Integra") adota práticas e controles para proteger as informações sob sua responsabilidade, preservando confidencialidade, integridade e disponibilidade de dados e serviços digitais.

Esta política estabelece diretrizes de alto nível alinhadas às boas práticas de segurança e ao Sistema de Gestão da Segurança da Informação (SGSI), com referência à ISO/IEC 27001 e à Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018).

2. Escopo

Esta política aplica-se a:

  • Informações tratadas pela FC Integra, inclusive dados de clientes, usuários e parceiros;
  • Plataformas, sistemas, automações, integrações, bancos de dados e infraestrutura tecnológica;
  • Colaboradores, prestadores de serviço e terceiros com acesso a informações ou ambientes controlados pela empresa.
Nota importante:

Esta página descreve diretrizes institucionais. Procedimentos técnicos detalhados e controles operacionais específicos podem ser mantidos como documentação interna, por motivos de segurança e governança.

3. Princípios

A FC Integra compromete-se a:

  • Proteger informações contra acesso, alteração, destruição ou divulgação não autorizada;
  • Aplicar o princípio do menor privilégio e necessidade de acesso;
  • Tratar riscos de forma sistemática, com base em criticidade e impacto ao negócio;
  • Atender requisitos legais, regulatórios e contratuais aplicáveis;
  • Promover melhoria contínua do SGSI.

4. Governança e Responsabilidades

Responsável institucional:

FC Integra Soluções Tecnológicas Ltda
CNPJ: 30.436.635/0001-05
Email: contato@fcintegra.com
Telefone/WhatsApp: (31) 9 8236-8575

A Alta Direção assegura recursos e define prioridades para segurança da informação. Todos os usuários e terceiros devem cumprir esta política e as regras aplicáveis, respondendo por uso indevido, negligência ou descumprimento.

5. Gestão de Riscos

A FC Integra identifica, avalia e trata riscos associados a ativos de informação (dados, sistemas, infraestrutura e integrações), considerando ameaças, vulnerabilidades e impactos. Controles são selecionados para reduzir riscos a níveis aceitáveis, com monitoramento e revisão periódicos.

Categoria Exemplos de Risco Tratamentos (alto nível)
Acesso Uso indevido de credenciais, acesso excessivo Menor privilégio, autenticação forte, revisão periódica
Infraestrutura Exposição indevida, indisponibilidade Segregação de ambientes, atualização, monitoramento
Dados Vazamento, corrupção, perda Controles de acesso, logs, criptografia quando aplicável, backups
Terceiros Falhas de fornecedor, integração insegura Requisitos contratuais, avaliação de risco, governança de acessos

6. Controle de Acesso

Diretrizes de acesso incluem:

  • Concessão e remoção de acessos com base na função e necessidade;
  • Proteção de credenciais (senhas, tokens e chaves) e uso responsável;
  • Registro e monitoramento, quando aplicável, de eventos relevantes de autenticação e acesso;
  • Segregação entre ambientes (ex.: produção e laboratório), conforme a necessidade.

7. Proteção da Informação

A FC Integra adota medidas técnicas e organizacionais para proteger informações, incluindo:

  • Proteção de dados em trânsito via criptografia (ex.: TLS/HTTPS), quando aplicável;
  • Gestão segura de armazenamento, processamento e descarte de informações;
  • Controle de alterações em sistemas e configurações críticas;
  • Registro de evidências e logs relevantes para auditoria e rastreabilidade, quando aplicável;
  • Segurança em Integrações com Terceiros: APIs de terceiros (WhatsApp, Google, etc.) acessadas via conexões seguras (HTTPS/TLS), tokens e credenciais de API armazenados de forma criptografada, rotação periódica de credenciais quando aplicável, e monitoramento de uso de APIs para detectar anomalias.

7.1. Segurança em Comunicações via WhatsApp Business

A FC Integra utiliza o WhatsApp Business API para comunicações com clientes e usuários. A segurança dessas comunicações é garantida através de:

Criptografia de Ponta a Ponta:

  • Todas as mensagens enviadas via WhatsApp são protegidas por criptografia de ponta a ponta fornecida pela Meta/WhatsApp;
  • Apenas o remetente e destinatário podem ler o conteúdo das mensagens;
  • A FC Integra não tem acesso ao conteúdo criptografado em trânsito.

Armazenamento Seguro de Mensagens:

  • Logs de mensagens são armazenados em ambiente seguro com controle de acesso restrito;
  • Dados são criptografados em repouso quando aplicável;
  • Retenção limitada conforme Política de Privacidade (máximo 12 meses para histórico operacional).

Autenticação e Autorização:

  • Acesso à conta WhatsApp Business protegido por autenticação de dois fatores (2FA);
  • Tokens de API armazenados de forma criptografada em ambiente seguro;
  • Revisão periódica de permissões e acessos aos sistemas de mensageria.

Conformidade com Políticas da Meta:

  • Cumprimento rigoroso das Políticas Comerciais do WhatsApp;
  • Respeito às diretrizes de segurança e privacidade da Meta;
  • Monitoramento de qualidade de mensagens para prevenir bloqueios e manter padrões de segurança.

7.2. Segurança na Infraestrutura Google Cloud

A FC Integra utiliza serviços do Google Cloud Platform e Firebase para hospedagem e processamento de dados. A segurança é garantida através de:

Infraestrutura Certificada:

  • Google Cloud Platform possui certificações ISO 27001, SOC 2, SOC 3;
  • Datacenters com segurança física de nível empresarial e controles rigorosos de acesso;
  • Redundância geográfica e alta disponibilidade de dados.

Criptografia em Múltiplas Camadas:

  • Criptografia em trânsito via TLS 1.2+ para todas as comunicações com serviços Google;
  • Criptografia em repouso para dados armazenados no Google Cloud Storage e Firebase;
  • Gerenciamento seguro de chaves criptográficas através do Google Cloud KMS.

Controles de Acesso:

  • Identity and Access Management (IAM) do Google Cloud para controle granular de permissões;
  • Autenticação multifator (MFA) obrigatória para administradores;
  • Princípio do menor privilégio aplicado a todas as contas de serviço e usuários.

Monitoramento e Auditoria:

  • Cloud Audit Logs habilitado para rastreabilidade completa de ações administrativas;
  • Monitoramento contínuo de atividades suspeitas através do Google Security Command Center;
  • Alertas automáticos configurados para eventos de segurança críticos.

Segregação de Dados:

  • Dados de diferentes clientes mantidos logicamente segregados através de projetos separados;
  • Ambientes de produção, homologação e desenvolvimento rigorosamente separados;
  • Políticas de firewall e segurança de rede implementadas para isolamento de recursos.

8. Terceiros e Fornecedores

A contratação e uso de serviços de terceiros (ex.: hospedagem, provedores de dados, plataformas de mensageria, ferramentas de automação) pode envolver tratamento de dados e informações. Nesses casos, a FC Integra busca estabelecer requisitos adequados de segurança e confidencialidade, compatíveis com o nível de risco.

Principais fornecedores de serviços críticos incluem:

  • Meta (WhatsApp Business API): processamento de mensagens com criptografia de ponta a ponta;
  • Google Cloud Platform/Firebase: infraestrutura certificada ISO 27001 para hospedagem e armazenamento;
  • Supabase: banco de dados com controles de acesso e criptografia;
  • Outros fornecedores selecionados com base em avaliação de segurança e conformidade.

9. Incidentes de Segurança

Incidentes de segurança (confirmados ou suspeitos) devem ser reportados, registrados e tratados conforme procedimentos internos, incluindo análise de causa, contenção, correção e ações preventivas para evitar recorrência.

9.1. Notificação de Violação de Dados Pessoais

Em conformidade com a LGPD (Lei nº 13.709/2018), em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, a FC Integra compromete-se a:

  • Notificar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável, conforme estabelecido no Art. 48 da LGPD;
  • Comunicar os titulares afetados quando o incidente puder acarretar risco ou dano relevante, informando sobre:
    • A natureza dos dados afetados;
    • As medidas técnicas e de segurança utilizadas para proteção dos dados;
    • Os riscos relacionados ao incidente;
    • Os motivos da demora, no caso de a comunicação não ter sido imediata;
    • As medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente.
  • Documentar o incidente de forma detalhada, registrando:
    • Data e hora do incidente;
    • Tipo de dados afetados;
    • Número estimado de titulares impactados;
    • Causas do incidente;
    • Consequências e danos identificados;
    • Medidas tomadas para contenção e correção.
  • Implementar ações corretivas e preventivas para evitar a recorrência de incidentes similares;
  • Realizar análise pós-incidente para identificar melhorias nos controles de segurança.
🚨 Canal de Reporte de Incidentes de Segurança:

Em caso de suspeita ou confirmação de incidente de segurança envolvendo dados pessoais, reporte imediatamente para:

  • Email: contato@fcintegra.com
  • Assunto: "Incidente de Segurança - URGENTE"
  • Prazo de resposta: até 24 horas em dias úteis

10. Continuidade e Backups

A FC Integra implementa práticas de continuidade e resiliência para manter a operação dos serviços essenciais, incluindo rotinas de backup, recuperação e medidas para reduzir indisponibilidade. A periodicidade, retenção e testes de restauração são definidos conforme criticidade e requisitos contratuais.

11. Conscientização

A FC Integra promove conscientização e boas práticas de segurança da informação para pessoas com acesso a informações e sistemas, de acordo com o contexto e criticidade do serviço.

12. Conformidade e Melhoria

O cumprimento desta política é monitorado por meio de revisões internas, auditorias quando aplicáveis e análise crítica da direção, garantindo a melhoria contínua do SGSI.

12.1. Conformidade com Frameworks de Terceiros

A FC Integra busca alinhar suas práticas de segurança com os requisitos de segurança de parceiros tecnológicos estratégicos:

Meta/WhatsApp Business:

  • Conformidade com WhatsApp Business Policy;
  • Aderência às diretrizes de segurança da Meta Business Tools;
  • Revisão contínua de políticas de uso do WhatsApp Business API;
  • Monitoramento de qualidade e segurança de mensagens.

Google Cloud Platform:

Certificações e Padrões Internacionais:

  • ISO/IEC 27001: práticas alinhadas ao padrão internacional de Sistema de Gestão da Segurança da Informação (SGSI);
  • LGPD (Lei nº 13.709/2018): conformidade integral com a legislação brasileira de proteção de dados;
  • NIST Cybersecurity Framework: acompanhamento de melhores práticas de segurança cibernética;
  • OWASP Top 10: mitigação de vulnerabilidades comuns em aplicações web quando aplicável.
📊 Avaliação Contínua:

A FC Integra realiza avaliações periódicas de conformidade e segurança para garantir alinhamento contínuo com frameworks de terceiros e evolução de ameaças, adaptando controles conforme necessário.

13. Revisão

Esta política pode ser atualizada periodicamente para refletir mudanças no negócio, na tecnologia, no contexto de ameaças, em requisitos legais e/ou contratuais. A data de "Última atualização" é exibida no topo desta página.

14. Contato

Para dúvidas sobre esta política ou segurança da informação:

Central de Atendimento FC Integra

📧 Email:

contato@fcintegra.com

Assunto: "Termos de Uso"

📞 Telefone/WhatsApp:

(31) 9 8236-8575

Segunda a Sexta, 09h às 18h

🏢 Dados da Empresa:

FC Integra Soluções Tecnológicas Ltda

CNPJ: 30.436.635/0001-05

Belo Horizonte, Minas Gerais, Brasil

✅ Compromisso institucional:

A FC Integra mantém o compromisso com a segurança, confiança e integridade da informação, adotando medidas proporcionais ao risco e alinhadas às boas práticas de governança, com atenção especial à conformidade com parceiros tecnológicos estratégicos (Meta/WhatsApp e Google Cloud).