Política de Segurança da Informação

Segurança Política de Segurança da Informação

Política de Segurança da Informação

Versão 1.0 · Última atualização: 08/05/2026

Este documento descreve as medidas de segurança técnicas e organizacionais adotadas pelo AssetHouse no tratamento de dados pessoais. Foi elaborado com base no Checklist de Medidas de Segurança para Agentes de Tratamento de Pequeno Porte, publicado pela Autoridade Nacional de Proteção de Dados (ANPD), e nos requisitos da LGPD (Lei nº 13.709/2018).

1. Finalidade

Definir os controles que o AssetHouse aplica para garantir confidencialidade, integridade e disponibilidade dos dados pessoais e operacionais sob sua tutela, em conformidade com a LGPD e as orientações da ANPD.

2. Abrangência

Aplica-se a todos os colaboradores, fornecedores e parceiros que tenham contato com dados pessoais tratados pelo AssetHouse, e a todos os componentes técnicos da plataforma — aplicação, infraestrutura de hospedagem, banco de dados, armazenamento de arquivos e canais de comunicação.

3. Controle de acesso

Cada usuário acessa o sistema com credenciais individuais e intransferíveis.
O sistema implementa controle de acesso baseado em papéis (RBAC): dono, administrador, operacional e leitura. Aplica-se o princípio do menor privilégio.
É exigida senha forte (mínimo 8 caracteres, com letra, número e caractere especial). Senhas são armazenadas como hash com salt — a equipe não tem acesso à senha original.
É proibido o compartilhamento de credenciais.
Sessões expiram após período razoável de inatividade.
O bloqueio de tentativas repetidas de login é monitorado.

4. Segurança dos dados armazenados

O banco de dados PostgreSQL é hospedado em provedor com criptografia em repouso. Backups diários automáticos, criptografados, com retenção mínima de 7 dias.
Documentos enviados (PDFs, fotos, comprovantes) são armazenados em serviço S3-compatível com criptografia em repouso e acesso restrito por credenciais aplicacionais.
Aplicamos minimização de dados — coletamos apenas o necessário ao funcionamento da plataforma.
Senhas de usuários nunca são armazenadas em texto puro nem em logs.
Tokens de sessão e de autenticação são opacos e expiram.

5. Segurança nas comunicações

Todo o tráfego entre o navegador do usuário e os servidores ocorre sobre TLS 1.2 ou superior (HTTPS).
O cabeçalho Strict-Transport-Security (HSTS) é aplicado em produção, evitando downgrade para HTTP.
Cabeçalhos adicionais: X-Frame-Options (clickjacking), X-Content-Type-Options (MIME sniffing), Referrer-Policy e Content-Security-Policy.
E-mails transacionais são enviados via SMTP com STARTTLS.

6. Gerenciamento de vulnerabilidades

As dependências de software (bibliotecas Python, frameworks) são atualizadas regularmente para incorporar correções de segurança.
Versões e versionamento controlados via Git, com auditoria pública de mudanças (commits assinados quando aplicável).
Quando vulnerabilidades críticas são divulgadas (ex.: CVE em bibliotecas usadas), a correção é priorizada e aplicada em até 72 horas.

7. Resposta a incidentes

Há um canal dedicado para reportar incidentes: /seguranca/incidente. Mensagens vão direto ao Encarregado de Dados.
Incidentes são analisados em até 24 horas úteis.
Incidentes que possam acarretar risco ou dano relevante aos titulares são comunicados à ANPD e aos titulares afetados em prazo razoável (LGPD art. 48).
Medidas corretivas e de mitigação são documentadas.

8. Isolamento entre clientes (multi-tenant)

O AssetHouse atende múltiplos clientes ("contas") na mesma infraestrutura. Para garantir isolamento:

Cada registro no banco de dados tem o identificador da conta a que pertence (conta_id).
Toda consulta é filtrada por esse identificador antes de retornar dados — implementado de forma centralizada via tenant query helper.
Listeners SQLAlchemy injetam automaticamente conta_id em registros novos, prevenindo cross-tenant por engano.
Convidados em uma conta de terceiros não têm acesso à conta pessoal de quem os convidou.

9. Direitos do titular

O titular pode, a qualquer momento e sem custo, exercer os direitos previstos no art. 18 da LGPD: confirmação, acesso, correção, anonimização, eliminação, portabilidade e revogação de consentimento. Vide nossa Política de Privacidade.

10. Encarregado pelo Tratamento de Dados (DPO)

Em conformidade com o art. 41 da LGPD, indicamos:

Equipe AssetHouse
Encarregado pelo Tratamento de Dados Pessoais (DPO/LGPD)
Contato: privacidade@assethouse.com.br

11. Operadores e fornecedores

O AssetHouse contrata operadores (provedor de hospedagem, gateway de pagamento, e-mail transacional, armazenamento de arquivos) cuja seleção considera, dentre outros critérios, a aderência a padrões mínimos de segurança e proteção de dados. Os contratos firmados contemplam cláusulas de confidencialidade e finalidade do tratamento.

12. Revisão

Esta política é revisada anualmente ou sempre que houver mudança relevante de tecnologia, escopo ou regulamentação. A versão vigente está sempre disponível neste endereço.

Versão 1.0 · Atualizada em 08/05/2026
← Voltar à página de Segurança