Segurança e Compliance

Na Glass Group, segurança da informação e conformidade regulatória são pilares fundamentais de nossa operação. Processamos mais de 500 milhões de transações mensais para instituições financeiras em todo o Brasil, o que exige os mais altos padrões de proteção de dados e governança.

1. Certificações e Conformidade

1.1. LGPD - Lei Geral de Proteção de Dados

Estamos em total conformidade com a Lei nº 13.709/2018 (LGPD):

• Encarregado de Dados (DPO): Profissional dedicado para gestão de privacidade
• Registro de Tratamento: Mapeamento completo de todos os fluxos de dados pessoais
• Consentimento: Mecanismos claros de coleta e gestão de consentimento
• Direitos dos Titulares: Processos estabelecidos para atendimento em até 15 dias
• Relatório de Impacto (RIPD): Avaliações periódicas de risco à privacidade

1.2. PCI-DSS - Payment Card Industry Data Security Standard

Seguimos as diretrizes do padrão PCI-DSS para proteção de dados de pagamento:

• Rede Segura: Firewalls e configurações seguras de sistemas
• Proteção de Dados: Criptografia de dados de cartão em trânsito e repouso
• Gestão de Vulnerabilidades: Antivírus atualizado e sistemas seguros
• Controle de Acesso: Restrição de acesso baseada em necessidade
• Monitoramento e Testes: Rastreamento de acessos e testes de segurança
• Política de Segurança: Documentação e treinamento de colaboradores

1.3. Regulamentações do Banco Central

Nossas soluções atendem às exigências do Banco Central do Brasil:

• Resolução CMN 4.893/2021: Política de segurança cibernética
• Circular BCB 3.909/2018: Requisitos para instituições de pagamento
• Open Finance: Conformidade com padrões de APIs abertas

2. Infraestrutura e Tecnologia

2.1. Cloud Computing

Nossa infraestrutura é hospedada em provedores de nuvem líderes mundiais:

• Amazon Web Services (AWS): Certificações SOC 1/2/3, ISO 27001, PCI-DSS
• Microsoft Azure: Certificações ISO 27001, ISO 27018, SOC 1/2
• Data Centers no Brasil: Dados armazenados em território nacional
• Redundância Geográfica: Replicação em múltiplas zonas de disponibilidade

2.2. Criptografia

• Em Trânsito: TLS 1.3 para todas as comunicações
• Em Repouso: AES-256 para dados armazenados
• Chaves: Gestão de chaves via AWS KMS / Azure Key Vault
• Hashing: Bcrypt/Argon2 para senhas e dados sensíveis

2.3. Disponibilidade e Resiliência

• SLA: 99.9% de disponibilidade garantida
• Redundância: Arquitetura multi-AZ com failover automático
• Backups: Backups automáticos a cada hora, retenção de 30 dias
• Disaster Recovery: RTO < 4 horas, RPO < 1 hora

3. Controles de Acesso

3.1. Autenticação

• MFA Obrigatório: Autenticação multi-fator para todos os acessos administrativos
• SSO: Single Sign-On com SAML 2.0 / OAuth 2.0
• Senhas Fortes: Políticas de complexidade e rotação
• Sessões: Timeout automático e controle de sessões simultâneas

3.2. Autorização

• RBAC: Controle de acesso baseado em funções (Role-Based Access Control)
• Menor Privilégio: Acesso mínimo necessário para cada função
• Segregação de Funções: Separação de ambientes e responsabilidades
• Revisão Periódica: Auditoria trimestral de permissões

4. Monitoramento e Detecção

4.1. Monitoramento Contínuo

• SIEM: Correlação e análise de eventos de segurança 24/7
• IDS/IPS: Detecção e prevenção de intrusões em tempo real
• WAF: Web Application Firewall para proteção de aplicações
• DDoS Protection: Mitigação automática de ataques volumétricos

4.2. Logs e Auditoria

• Logs Centralizados: Armazenamento seguro por 12 meses
• Rastreabilidade: Registro de todas as ações em sistemas críticos
• Alertas: Notificações automáticas para eventos suspeitos
• Relatórios: Dashboards e relatórios de compliance

5. Gestão de Vulnerabilidades

5.1. Testes de Segurança

• Pentest: Testes de penetração anuais por empresa especializada
• Scan de Vulnerabilidades: Varreduras semanais automatizadas
• Code Review: Revisão de código com foco em segurança
• SAST/DAST: Análise estática e dinâmica no pipeline de CI/CD

5.2. Gestão de Patches

• Patches Críticos: Aplicação em até 24 horas
• Patches Altos: Aplicação em até 7 dias
• Atualizações: Janelas de manutenção programadas

6. Resposta a Incidentes

6.1. Processo de Resposta

Possuímos um plano estruturado de resposta a incidentes:

• Detecção: Identificação através de monitoramento e alertas
• Contenção: Isolamento imediato de sistemas afetados
• Erradicação: Remoção da causa raiz do incidente
• Recuperação: Restauração segura dos serviços
• Lições Aprendidas: Análise post-mortem e melhorias

6.2. Comunicação

• Notificação ANPD: Em até 72 horas para incidentes com dados pessoais
• Comunicação a Clientes: Transparência sobre incidentes relevantes
• Relatório de Incidentes: Documentação completa de cada ocorrência

7. Segurança Física

7.1. Data Centers

Os data centers utilizados possuem:

• Controle de Acesso: Biometria, cartões e vigilância 24/7
• Redundância Elétrica: UPS e geradores
• Climatização: Sistemas redundantes de refrigeração
• Detecção de Incêndio: Sistemas automáticos de supressão

7.2. Escritórios

• Acesso Controlado: Catracas e controle de visitantes
• Clean Desk: Política de mesa limpa
• Descarte Seguro: Destruição certificada de documentos e mídias

8. Treinamento e Conscientização

• Onboarding: Treinamento de segurança para novos colaboradores
• Reciclagem Anual: Atualização obrigatória sobre políticas
• Phishing Simulado: Testes periódicos de engenharia social
• Comunicados: Alertas sobre novas ameaças e boas práticas

9. Parceiros e Fornecedores

Exigimos de nossos parceiros e fornecedores:

• Due Diligence: Avaliação de segurança antes da contratação
• Cláusulas Contratuais: Obrigações de segurança e privacidade
• Auditorias: Direito de auditoria em fornecedores críticos
• Certificações: Exigência de certificações relevantes (ISO 27001, SOC 2)