Política de Segurança de Dados — CronusAI
A SOFTBLITZ PESQUISA DESENVOLVIMENTO E CONSULTORIA DE SOFTWARE DO BRASIL LTDA - ME (SoftBlitz), operadora da plataforma CronusAI (HR SaaS do ecossistema OrbittAI), estabelece a presente Política de Segurança de Dados em conformidade com a Lei nº 13.709/2018 (LGPD), em especial os Arts. 46 e 47, e com as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
1. Governança de Segurança
A governança de segurança é responsabilidade da liderança da SoftBlitz e do Encarregado de Proteção de Dados (DPO). A política de segurança é revisada periodicamente e atualizada conforme evolução das ameaças, requisitos regulatórios e melhores práticas. A ANPD recomenda a adoção de medidas adequadas ao porte da operação e à natureza dos dados tratados; a SoftBlitz implementa controles proporcionais ao risco.
2. Controle de Acesso (RBAC)
O acesso aos dados e funcionalidades da plataforma CronusAI é controlado por meio de Controle de Acesso Baseado em Funções (RBAC), conforme orientações da ANPD para minimização de acesso. Os papéis definidos são:
- system_admin: Acesso global à plataforma, gestão de empresas e configurações de sistema. Escopo restrito a administradores designados.
- company_admin: Acesso aos dados da empresa sob sua administração: colaboradores, ciclos, contratos, faturas, pagamentos e documentos.
- employee: Acesso restrito aos próprios dados: registro de ponto, contratos, faturas, recibos e documentos pessoais.
A verificação de autorização é realizada no middleware e nos handlers, com checagem de role e company_id no JWT. Nenhum usuário acessa dados além do escopo do seu papel e da empresa associada.
3. Políticas de Autenticação
A autenticação utiliza tokens JWT (JSON Web Tokens) com validade limitada e renovação por refresh token. As credenciais são armazenadas com hashing bcrypt. A autenticação multifator (MFA) está prevista no roadmap de melhorias de segurança e será implementada em versões futuras. O uso de MFA é recomendado pela ANPD como medida de reforço ao controle de acesso.
4. Políticas de Senha
As políticas de senha exigem complexidade mínima (comprimento, caracteres especiais, combinação de maiúsculas/minúsculas e números). Senhas fracas ou comprometidas são rejeitadas. O bloqueio temporário após múltiplas tentativas falhas de login reduz o risco de ataques de força bruta. Essas medidas atendem ao princípio de adequação e prevenção do Art. 46 da LGPD.
5. Padrões de Criptografia
A criptografia é aplicada em conformidade com os Arts. 46 e 47 da LGPD e com as orientações da ANPD para proteção de dados sensíveis. Os padrões adotados são:
- Em repouso: AES-256 para armazenamento de dados sensíveis.
- Em trânsito: TLS 1.3 para todas as comunicações entre cliente e servidor e entre componentes de infraestrutura.
Chaves de criptografia são gerenciadas de forma segura e não são expostas em logs ou código-fonte.
6. Criptografia de Dados em Repouso
Os dados armazenados em bancos de dados (PostgreSQL), em armazenamento de objetos (Cloudflare R2) e em backups são criptografados em repouso. O armazenamento em disco utiliza criptografia AES-256. Documentos de colaboradores, contratos e comprovantes são armazenados em R2 com criptografia habilitada. A criptografia em repouso é uma das medidas técnicas exigidas pelo Art. 46 da LGPD.
7. Criptografia de Dados em Trânsito
Todas as comunicações entre o navegador do usuário e a API, entre a API e os serviços de infraestrutura (banco de dados, Redis, R2, e-mail, APIs de terceiros) utilizam TLS 1.3. Certificados são mantidos válidos e configurados de forma adequada. Isso impede interceptação e adulteração de dados em trânsito, em alinhamento ao Art. 46 da LGPD.
8. Registro de Auditoria (Audit Logging)
Operações sensíveis são registradas em logs de auditoria, incluindo: alterações em dados de colaboradores, aprovações de ciclos, alterações de status de empresas, acesso a documentos, assinaturas digitais e ações administrativas. Os logs incluem identificador do usuário, timestamp, ação realizada e recurso afetado. Os registros são protegidos contra alteração e retidos por período definido em política de retenção. O audit logging apoia a responsabilização e prestação de contas (Art. 6º, X da LGPD) e a investigação de incidentes.
9. Monitoramento
A infraestrutura e as aplicações são monitoradas continuamente para identificar anomalias, falhas e indicadores de comprometimento. Métricas de desempenho, disponibilidade e segurança são coletadas e analisadas. Alertas são configurados para eventos críticos, permitindo resposta rápida. O monitoramento está alinhado às recomendações da ANPD para detecção proativa de ameaças.
10. Detecção de Incidentes
A detecção de incidentes combina monitoramento automatizado, análise de logs e revisão de alertas. Comportamentos anômalos (ex.: acessos em horários incomuns, múltiplas falhas de login, acesso a volumes atípicos de dados) são investigados. A SoftBlitz mantém procedimentos documentados para classificação e escalonamento de incidentes de segurança.
11. Resposta a Incidentes
Em caso de incidente de segurança, a SoftBlitz segue um plano de resposta que inclui: contenção imediata, análise de causa raiz, mitigação, comunicação à ANPD em até 72 horas (Art. 48 da LGPD) e ao controlador em prazo razoável, documentação e lições aprendidas. A resposta a incidentes visa minimizar danos aos titulares e à continuidade dos serviços.
12. Backup e Recuperação
Backups periódicos dos dados críticos são realizados com frequência adequada. Os backups são criptografados e armazenados em localização distinta da produção. Testes de restauração são realizados periodicamente para validar a recuperabilidade dos dados. Políticas de retenção de backup estão documentadas e alinhadas às necessidades de negócio e requisitos legais.
13. Segurança da Infraestrutura
A infraestrutura do CronusAI utiliza Docker para containerização, PostgreSQL 16 para banco de dados relacional e Redis 7 para cache e filas (Asynq). Os containers são configurados com imagens minimizadas e atualizadas. Acesso à infraestrutura é restrito e registrado. Redes são segmentadas e regras de firewall limitam tráfego desnecessário. A infraestrutura em produção opera em ambiente controlado (Fly.io) com hardening de segurança.
14. Segurança em Nuvem (Cloudflare R2, Fly.io)
O armazenamento de arquivos utiliza Cloudflare R2 (compatível S3) com criptografia em repouso e URLs pré-assinadas para download seguro, com expiração de 15 minutos. A hospedagem da API utiliza Fly.io com configurações de segurança aplicadas. Ambos os provedores mantêm conformidade com padrões de segurança reconhecidos. A SoftBlitz avalia contratos e práticas de segurança dos fornecedores de nuvem periodicamente.
15. Segurança de Fornecedores
Terceiros que processam dados em nome da SoftBlitz (suboperadores) são contratados mediante acordos que impõem obrigações equivalentes em matéria de segurança e conformidade com a LGPD (Art. 39). A inclusão de novos suboperadores passa por avaliação de risco. A lista de suboperadores inclui: Resend (e-mail), OpenAI (IA), Cloudflare (R2, CDN), Fly.io (hospedagem) e provedores de banco de dados.
16. Treinamento de Segurança
Colaboradores com acesso a dados pessoais recebem treinamento sobre proteção de dados, segurança da informação e boas práticas. O treinamento cobre temas como classificação de dados, uso aceitável, proteção de credenciais e procedimentos de incidentes. A capacitação é realizada na admissão e em períodos definidos, conforme orientações da ANPD para adequação de processos (Art. 46).
17. Revisões de Segurança
A política de segurança e os controles implementados são objeto de revisões periódicas (pelo menos anualmente) para garantir adequação às ameaças, mudanças regulatórias e evolução da plataforma. A revisão inclui análise de vulnerabilidades, testes de penetração quando aplicável e atualização documental. Alterações relevantes são comunicadas às partes interessadas e incorporadas aos procedimentos operacionais.
Contato: dpo@orbittai.com