Política de Segurança da Informação

Esta Política de Segurança da Informação (PSI) estabelece as diretrizes, os controles e as responsabilidades adotadas pela Sociedade Internacional do Mindset / Editora Mindset ("Organização") para proteger a confidencialidade, integridade e disponibilidade das informações sob sua custódia — incluindo dados pessoais de clientes, dados de pedidos e dados recebidos de plataformas parceiras como o TikTok Shop.

A política é proporcional ao porte da Organização (pequena empresa, time enxuto) e foi desenhada para garantir controles efetivos e verificáveis, sem exigir estrutura de grande corporação.

Esta política aplica-se a:

• Todos os colaboradores, sócios e prestadores de serviço que acessam sistemas ou dados da Organização;
• Toda a infraestrutura tecnológica: servidores (Hetzner e Hostinger), contêineres Docker, aplicações, bancos de dados, integrações e estações de trabalho;
• Todos os dados tratados, com atenção especial aos dados pessoais (LGPD — Lei 13.709/2018) e aos dados recebidos de plataformas parceiras (TikTok Shop, marketplaces, ERPs);
• O aplicativo de integração SimTrack (tracking e análise de pedidos), incluindo o fluxo de autorização OAuth com o TikTok Shop.

1. Mínimo privilégio: cada pessoa e cada sistema recebe apenas o acesso estritamente necessário à sua função.
2. Mínimo dado: coletamos e processamos apenas os dados necessários à finalidade declarada.
3. Defesa em camadas: múltiplos controles (rede, aplicação, dados, acesso) protegendo cada ativo.
4. Segurança desde a concepção: controles considerados no desenho de cada integração e fluxo de dados.
5. Conformidade legal: aderência à LGPD e às obrigações contratuais com plataformas parceiras.
6. Melhoria contínua: revisão periódica dos controles e correção rápida de fragilidades.

Por se tratar de empresa de pequeno porte, as funções de gestão de segurança e de privacidade são centralizadas no Owner, que atua como ponto focal único e pode designar formalmente um Encarregado (DPO) quando aplicável.

• O acesso a sistemas e dados segue o princípio de mínimo privilégio e é concedido individualmente, mediante necessidade de função.
• O acesso administrativo aos servidores é feito exclusivamente via SSH com chaves criptográficas Ed25519 (autenticação por chave pública; login por senha desabilitado no acesso administrativo), com StrictHostKeyChecking habilitado.
• As credenciais e segredos (chaves de API, tokens, senhas de serviço, chave de criptografia de backup) são centralizadas em um arquivo de segredos protegido (MASTER.env), mantido fora de qualquer repositório de código (entrada no .gitignore) e com acesso restrito ao Owner.
• Credenciais nunca são expostas em logs, mensagens, código-fonte ou respostas.
• O acesso de aplicações a dados de terceiros (ex.: TikTok Shop) é feito via OAuth, recebendo apenas os escopos/tokens estritamente necessários à finalidade da integração.
• Acessos são revisados periodicamente e revogados imediatamente no desligamento de colaborador/prestador ou término de contrato.

A Organização classifica os dados em três níveis:

• Dados pessoais e dados confidenciais recebem o nível mais alto de proteção e são tratados conforme as bases legais e finalidades declaradas na Política de Privacidade.
• A coleta é limitada ao mínimo necessário (data minimization).

• Dados em trânsito: todo o tráfego para os domínios e serviços da Organização é protegido por TLS/HTTPS, terminado na borda pela Cloudflare e pelo proxy reverso Traefik. Não há serviços públicos servindo dados pessoais em texto claro.
• Segredos: chaves de API, tokens e senhas de serviço são mantidos em vault de segredos (MASTER.env) fora de repositórios.
• Backups: os backups são criptografados, e a chave de criptografia é guardada no vault de segredos, separada dos próprios backups.
• O acesso administrativo usa criptografia de chave pública (SSH Ed25519).

• Os domínios da Organização operam atrás da Cloudflare, que fornece proteção contra DDoS, WAF de borda, TLS gerenciado e filtragem de tráfego malicioso (com endurecimento adicional via Bot Fight Mode planejado).
• Na camada do servidor, um Web Application Firewall (SafeLine WAF) inspeciona e filtra requisições maliciosas antes de chegarem às aplicações.
• O Traefik atua como proxy reverso, isolando os serviços internos: as aplicações em contêineres Docker não são expostas diretamente à internet — o acesso passa pelo proxy, que aplica TLS e roteamento controlado.
• Os serviços são segregados em contêineres Docker isolados, limitando a superfície de ataque e o impacto de eventual comprometimento de um serviço.
• Regras de firewall restringem as portas expostas ao mínimo necessário (ex.: tráfego web e SSH controlado).

• As estações de trabalho utilizadas pela Organização operam com sistema operacional mantido atualizado e com proteção antimalware ativa (proteção nativa do sistema operacional / antivírus), com atualizações automáticas habilitadas.
• Estações aplicam linha de base de segurança operacional: bloqueio automático de tela por inatividade, exigência de autenticação no login e atualizações de segurança automáticas.
• Os servidores (Linux) recebem atualizações de segurança do sistema operacional e dos pacotes de forma regular; serviços rodam em contêineres com imagens atualizadas.

• A Organização mantém uma rotina de backups automatizados: backup geral diário e backup semanal específico do n8n replicado para armazenamento externo (Google Drive).
• Os backups são criptografados, com a chave armazenada separadamente no vault de segredos.
• O procedimento de restauração (disaster recovery) foi testado, garantindo que os backups são recuperáveis.
• Existe runbook documentado para o processo de backup e restauração.

A Organização mantém um procedimento de resposta a incidentes de segurança coordenado pelo Owner:

1. Detecção e registro — qualquer colaborador que identificar incidente ou suspeita comunica imediatamente o Owner (ponto focal de segurança).
2. Contenção — isolamento do serviço/conta afetada (revogação de credenciais, bloqueio de acesso, retirada do serviço da borda).
3. Erradicação e recuperação — correção da causa-raiz e restauração a partir de backup íntegro quando necessário.
4. Notificação — quando o incidente envolver dados pessoais ou dados de plataformas parceiras, a Organização notifica os titulares e/ou a ANPD conforme exigido pela LGPD, e notifica o TikTok Shop e os vendedores afetados quando o incidente envolver dados originados dessa plataforma, sem demora indevida.
5. Lições aprendidas — registro do incidente, da causa-raiz e das ações corretivas para evitar reincidência.

O canal para reporte de incidentes e contato de segurança é suporte@osimtransforma.com.br.

• A Organização mantém softwares, sistemas operacionais, contêineres e dependências atualizados, aplicando correções de segurança de forma regular.
• A camada de WAF (Cloudflare + SafeLine) monitora e bloqueia tentativas de exploração e tráfego malicioso em tempo real, funcionando como detecção e prevenção contínua de ameaças.
• Vulnerabilidades identificadas (por monitoramento, alertas de fornecedores ou avisos de segurança) são avaliadas por risco e corrigidas com prioridade proporcional à severidade.
• Credenciais comprometidas ou potencialmente expostas são revogadas e rotacionadas imediatamente.

• A Organização trata dados pessoais em conformidade com a LGPD (Lei 13.709/2018), observando finalidade, necessidade, transparência e segurança.
• A Política de Privacidade pública descreve as informações coletadas, as finalidades, as bases legais e os direitos dos titulares (acesso, correção, exclusão, portabilidade), com canal de atendimento em suporte@osimtransforma.com.br.
• A Organização apoia vendedores e o TikTok Shop no atendimento a solicitações de titulares — exclusão, atualização e fornecimento de dados pessoais — dentro dos prazos legais.
• Localização dos dados: os dados são armazenados e processados no Brasil.
• Encerramento de contrato: ao término do contrato ou da finalidade, a Organização exclui ou anonimiza os dados pessoais e os dados de clientes em sua posse provenientes da plataforma parceira, salvo retenção exigida por obrigação legal.

• Colaboradores e prestadores devem proteger suas credenciais, não compartilhá-las e utilizar os sistemas apenas para fins legítimos da Organização.
• É vedado instalar software não autorizado em equipamentos que acessam dados da Organização.
• Os colaboradores são orientados sobre práticas seguras (proteção de senhas, identificação de phishing, reporte de incidentes).

Esta política é revisada anualmente ou sempre que houver mudança relevante de infraestrutura, processo ou regulação, ou após incidente de segurança significativo. A versão vigente é a publicada com a data mais recente neste documento.