Confiança e Segurança

Conformidade e Frameworks

Operamos em conformidade com a legislação brasileira e internacional aplicável, e alinhamos nossas práticas a frameworks reconhecidos de segurança da informação.

Sub-processadores

Mantemos uma lista pública e atualizada dos sub-processadores que apoiam a operação da plataforma, em conformidade com a LGPD (Art. 14) e o GDPR (Art. 28.2). Alterações são comunicadas com no mínimo 30 dias de antecedência.

Práticas de Segurança

Princípios e controles que aplicamos para proteger a plataforma e os dados sob nossa responsabilidade.

• Criptografia em trânsito e em repouso Padrões reconhecidos pelo mercado aplicados a todo o tráfego e a dados sensíveis em repouso.
• Autenticação e controle de acesso Autenticação multifator para acesso administrativo, controle baseado em papéis e princípio do menor privilégio.
• Isolamento de execução de IA Operações de teste utilizam ambientes isolados, com retenção mínima de dados ao término da execução. Selecionamos sub-processadores de IA que oferecem controles restritos de retenção.
• Autoavaliação de vulnerabilidades A plataforma faz parte do nosso programa interno de gestão de vulnerabilidades como parte de nossa prática operacional.
• SDLC seguro Revisão por pares antes de merge, varredura de dependências e segredos, testes automatizados e deploys auditáveis.
• Trilha de auditoria Registros de ações administrativas e eventos relevantes preservados conforme política de retenção.
• Backups e recuperação Backups automatizados e procedimentos de recuperação documentados.
• Proteção de borda CDN, mitigação de DDoS e Web Application Firewall (WAF) gerenciados por provedor tier-1.
• Divulgação responsável Política pública de divulgação de vulnerabilidades em /.well-known/security.txt. Pesquisadores são encorajados a reportar achados em [email protected].

Privacidade e Dados

Nosso compromisso com a transparência sobre coleta, uso, retenção e proteção dos dados que processamos.

• Localização dos dados Processamento em provedores tier-1 com data residency no Brasil e nos Estados Unidos. Detalhes por categoria de sub-processador disponíveis sob NDA.
• Política de retenção Prazos definidos por categoria de dados, considerando obrigações legais e necessidade operacional. Tabela completa na Política de Privacidade.
• Não treinamento com dados do Cliente Nenhuma vulnerabilidade, POC, credencial, URL ou dado identificável de Cliente é utilizado para treinar modelos de IA. Cláusula contratual explícita.
• Direitos do titular Confirmação, acesso, correção, anonimização, eliminação, portabilidade e revogação de consentimento. Resposta dentro dos prazos da LGPD/GDPR.
• Encarregado de Proteção de Dados Encarregado nomeado e contactável em [email protected] para questões de privacidade e exercício de direitos.
• Notificação de incidentes Em caso de incidente que represente risco aos titulares, comunicamos a ANPD e os Clientes afetados nos prazos legais.

Confiabilidade

Buscamos manter a plataforma disponível e responsiva. Quando algo dá errado, comunicamos com clareza.

• Disponibilidade Empregamos esforços comercialmente razoáveis para manter a plataforma operacional. Acordos de Nível de Serviço (SLA) específicos podem ser negociados em planos Enterprise.
• Resposta a incidentes Procedimentos documentados, escalação interna definida e comunicação ao Cliente em incidentes de impacto.
• Manutenções programadas Comunicadas com antecedência sempre que possível, em janelas de baixo impacto.
• Página de status Acompanhe em tempo real o estado dos serviços e incidentes em status.hackersec.com.

Canais de Contato

Use o canal apropriado conforme o assunto. Respondemos dentro dos prazos legais e operacionais aplicáveis.