Política de Segurança da Informação
Versão: v1.0
Atualizado em: 05/02/2026
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Esta política descreve as medidas de segurança implementadas pela OTH HOST para proteger a infraestrutura, dados e serviços oferecidos aos clientes.
1. Introdução
1.1 Objetivo
Estabelecer diretrizes e controles de segurança para:
- Proteger a confidencialidade, integridade e disponibilidade dos dados
- Garantir a segurança da infraestrutura e serviços
- Atender requisitos legais e regulatórios (LGPD, Marco Civil)
- Definir responsabilidades de segurança
1.2 Escopo
Aplica-se a:
- Toda a infraestrutura da OTH HOST
- Colaboradores, prestadores e parceiros
- Serviços oferecidos aos clientes
- Dados processados e armazenados
2. Segurança Física
2.1 Datacenters
| Controle | Descrição |
|---|---|
| Localização | Datacenters Tier III ou superior em regiões estratégicas |
| Controle de Acesso | Biometria + cartão + PIN para entrada |
| Vigilância | CFTV 24/7 com gravação por 90 dias |
| Segurança Física | Equipe de segurança presencial 24/7 |
| Registro | Log de todos os acessos físicos |
2.2 Ambiente
| Sistema | Especificação |
|---|---|
| Energia | Redundância N+1, UPS, geradores diesel |
| Climatização | CRAC/CRAH redundante, monitoramento 24/7 |
| Detecção de Incêndio | Sistema VESDA + supressão por gás inerte |
| Monitoramento Ambiental | Sensores de temperatura, umidade, vazamento |
3. Segurança Lógica
3.1 Proteção de Rede
| Camada | Tecnologia | Função |
|---|---|---|
| Perímetro | Firewall de borda (NG) | Filtragem de tráfego externo |
| Rede | IDS/IPS | Detecção e prevenção de intrusões |
| Aplicação | WAF (Web Application Firewall) | Proteção contra ataques web |
| DDoS | Proteção Anti-DDoS | Mitigação de ataques volumétricos |
| Monitoramento | SIEM | Correlação de eventos de segurança |
3.2 Proteção contra DDoS
- Mitigação automática de ataques até 1Tbps+
- Scrubbing centers geograficamente distribuídos
- Detecção em tempo real (< 30 segundos)
- Proteção em camadas 3, 4 e 7
- Relatórios de ataques disponíveis no painel
3.3 Segmentação de Rede
- VLANs separadas por cliente (isolamento)
- Redes de gerenciamento segregadas
- DMZ para serviços públicos
- Micro-segmentação em ambientes cloud
4. Criptografia
4.1 Padrões de Criptografia
| Uso | Algoritmo | Tamanho de Chave |
|---|---|---|
| Dados em repouso | AES-256 | 256 bits |
| Dados em trânsito | TLS 1.3 | Conforme cipher suite |
| Backups | AES-256-GCM | 256 bits |
| Chaves SSH | RSA / Ed25519 | 4096 bits / 256 bits |
| Certificados SSL | RSA / ECDSA | 2048+ / 256+ bits |
| Hashing de senhas | Argon2id / bcrypt | Conforme padrão |
4.2 Gestão de Certificados
- Certificados SSL/TLS gratuitos (Let's Encrypt) ou comerciais
- Renovação automática antes da expiração
- Suporte a certificados wildcard e EV
- HSTS habilitado por padrão
- OCSP Stapling ativo
4.3 Cipher Suites Suportados
Apenas cipher suites seguras são permitidas:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
SSLv2, SSLv3, TLS 1.0 e TLS 1.1 estão desabilitados.
5. Controle de Acessos
5.1 Princípios
- Menor privilégio: Acesso mínimo necessário para a função
- Separação de funções: Divisão de responsabilidades críticas
- Necessidade de saber: Acesso apenas quando justificado
- Revisão periódica: Auditoria trimestral de acessos
5.2 Autenticação
| Tipo de Acesso | Requisitos |
|---|---|
| Painel do Cliente | Senha forte + 2FA (TOTP/SMS) obrigatório |
| SSH/Console | Chave SSH (senha opcional) ou senha forte |
| API | Token de API + IP whitelist (opcional) |
| Acesso Administrativo | 2FA obrigatório + VPN + auditoria |
5.3 Política de Senhas
| Requisito | Especificação |
|---|---|
| Comprimento mínimo | 12 caracteres |
| Complexidade | Maiúsculas, minúsculas, números, especiais |
| Histórico | Não pode repetir as últimas 5 senhas |
| Expiração | 90 dias (recomendado, não obrigatório) |
| Bloqueio de conta | 5 tentativas falhas = bloqueio 30 min |
5.4 Autenticação de Dois Fatores (2FA)
Métodos suportados:
- TOTP: Google Authenticator, Authy, etc.
- SMS: Códigos por mensagem (backup)
- E-mail: Códigos por e-mail (backup)
- Hardware Key: YubiKey, Titan (em breve)
6. Gestão de Vulnerabilidades
6.1 Processo
- Identificação: Scans automatizados e manuais
- Classificação: CVSS para priorização
- Remediação: Patches e mitigações
- Verificação: Teste pós-correção
- Documentação: Registro de todas as ações
6.2 Prazos de Remediação
| Severidade (CVSS) | Prazo de Correção |
|---|---|
| Crítica (9.0-10.0) | 24 horas |
| Alta (7.0-8.9) | 72 horas |
| Média (4.0-6.9) | 30 dias |
| Baixa (0.1-3.9) | 90 dias |
6.3 Atualizações
- Patches de segurança críticos: Aplicados em até 24h
- Atualizações de sistema: Janelas de manutenção programadas
- Firmware de hardware: Conforme recomendação do fabricante
7. Monitoramento e Logs
7.1 O Que é Monitorado
| Categoria | Itens Monitorados |
|---|---|
| Infraestrutura | CPU, memória, disco, rede, temperatura |
| Segurança | Tentativas de login, mudanças de configuração |
| Rede | Tráfego, conexões, anomalias |
| Aplicação | Erros, performance, disponibilidade |
7.2 Retenção de Logs
| Tipo de Log | Retenção |
|---|---|
| Logs de acesso | 12 meses |
| Logs de segurança | 24 meses |
| Logs de rede (netflow) | 6 meses |
| Logs de aplicação | 3 meses |
7.3 Alertas
- Alertas em tempo real para eventos críticos
- Notificação por e-mail, SMS e/ou webhook
- Escalação automática para equipe de plantão
8. Gestão de Incidentes
8.1 Classificação de Incidentes
| Nível | Descrição | Exemplos |
|---|---|---|
| P1 - Crítico | Indisponibilidade total ou breach de dados | DDoS massivo, vazamento de dados, ransomware |
| P2 - Alto | Degradação severa ou vulnerabilidade explorada | Comprometimento de servidor, ataque ativo |
| P3 - Médio | Degradação parcial ou tentativa de ataque | Scans de porta, tentativas de brute force |
| P4 - Baixo | Alertas informativos | Falhas de login isoladas, anomalias menores |
8.2 Processo de Resposta
- Detecção: Identificação do incidente (automático ou manual)
- Contenção: Limitar o impacto imediatamente
- Erradicação: Remover a causa raiz
- Recuperação: Restaurar serviços normais
- Lições Aprendidas: Post-mortem e melhorias
8.3 Tempos de Resposta
| Prioridade | Primeira Resposta | Atualização |
|---|---|---|
| P1 - Crítico | 15 minutos | A cada 30 minutos |
| P2 - Alto | 1 hora | A cada 2 horas |
| P3 - Médio | 4 horas | A cada 8 horas |
| P4 - Baixo | 24 horas | Conforme necessário |
8.4 Notificação ao Cliente
Clientes serão notificados de incidentes que afetem seus serviços:
- Incidentes P1/P2: Notificação imediata + atualizações
- Incidentes P3: Notificação em até 24h
- Incidentes de dados pessoais: Conforme LGPD (prazo razoável)
9. Responsabilidades do Cliente
9.1 Modelo de Responsabilidade Compartilhada
| Responsabilidade | OTH HOST | Cliente |
|---|---|---|
| Segurança física do datacenter | ✅ | ❌ |
| Segurança da rede e infraestrutura | ✅ | ❌ |
| Hypervisor e virtualização | ✅ | ❌ |
| Sistema operacional (se gerenciado) | ✅ | ❌ |
| Sistema operacional (VPS/Dedicado) | ❌ | ✅ |
| Aplicações e código | ❌ | ✅ |
| Dados e conteúdo | ❌ | ✅ |
| Credenciais de acesso | ❌ | ✅ |
| Backup de dados (se não contratado) | ❌ | ✅ |
9.2 Boas Práticas para Clientes
- Manter sistemas e aplicações atualizados
- Usar senhas fortes e únicas
- Ativar 2FA em todas as contas
- Fazer backups regulares
- Revisar logs de acesso periodicamente
- Remover usuários e acessos não utilizados
- Usar firewall adequadamente
10. Compliance e Certificações
10.1 Conformidade
- LGPD (Lei nº 13.709/2018): Proteção de dados pessoais
- Marco Civil (Lei nº 12.965/2014): Princípios da internet
- PCI-DSS: Para clientes que processam cartões (sob consulta)
10.2 Certificações e Padrões
| Padrão | Status |
|---|---|
| ISO 27001 | Em processo de certificação |
| SOC 2 Type II | Planejado |
| ISO 22301 | Boas práticas adotadas |
11. Testes de Segurança
11.1 Testes Realizados
| Tipo | Frequência |
|---|---|
| Scan de vulnerabilidades | Semanal |
| Pentest interno | Anual |
| Pentest externo (terceiro) | Anual |
| Teste de phishing (colaboradores) | Semestral |
| Teste de DR | Anual |
11.2 Políticas para Clientes
- Clientes podem realizar testes em seus próprios serviços
- Testes de carga/stress: Agendar com antecedência
- Pentest em infraestrutura compartilhada: Proibido sem autorização
12. Treinamento e Conscientização
- Treinamento de segurança para todos os colaboradores
- Simulações de phishing periódicas
- Atualizações sobre novas ameaças
- Política de mesa limpa e tela bloqueada
13. Contato de Segurança
13.1 Reporte de Vulnerabilidades
Para reportar vulnerabilidades de forma responsável:
E-mail: [email protected]
PGP Key: Disponível em /security.txt
13.2 Incidentes de Segurança
E-mail: [email protected]
Emergência 24/7: +55 11 91359-7276 (para clientes Enterprise)
Reportar Problema de Segurança
Última atualização: Fevereiro de 2026
Versão: 1.0