Praticas de Seguranca

Nosso Compromisso

Seguranca nao e um recurso — e o alicerce de tudo que construimos. A AMRN Tech mantem praticas de seguranca de nivel empresarial em toda a sua infraestrutura, codigos-fonte e fluxos operacionais. Como provedora de plataforma SaaS de gestao municipal para municipios brasileiros, a protecao dos dados publicos e nossa prioridade maxima.

Infraestrutura Segura

Protecao de Dados Municipais

Como plataforma de gestao municipal, tratamos dados sensíveis de cidadaos e administracoes publicas. Implementamos camadas adicionais de protecao:

• Isolamento logico de dados entre municipios contratantes
• Criptografia de campos sensiveis com chaves individuais por municipio
• Anonimizacao e pseudonimizacao conforme exigido pela LGPD
• Registros de auditoria imutaveis para todas as operacoes sobre dados
• Politicas de retencao de dados alinhadas com a legislacao brasileira de arquivo publico

Monitoramento 24/7

• Monitoramento continuo com deteccao de anomalias e alertas automatizados
• Gerenciamento centralizado de logs com retencao de 90 dias
• Infraestrutura imutavel — sem alteracoes manuais em servidores
• Escaneamento automatizado SAST e DAST em cada pull request
• Escaneamento de vulnerabilidades em dependencias com correcao automatizada
• Escaneamento de imagens de container antes da implantacao

Backup e Recuperacao de Desastres

• Backups automaticos diarios com criptografia
• Retencao de backups por 30 dias (configuravel por contrato)
• Testes regulares de recuperacao de desastres
• RPO (Recovery Point Objective) maximo de 24 horas
• RTO (Recovery Time Objective) maximo de 4 horas para incidentes criticos
• Replicacao geografica para continuidade de negocios

Resposta a Incidentes

Nosso plano de resposta a incidentes segue as melhores praticas da industria:

• Deteccao — Monitoramento automatizado aciona alertas em minutos
• Triagem — Engenheiro de plantao avalia a severidade em ate 15 minutos
• Contencao — Isolamento imediato dos sistemas afetados
• Erradicacao — Analise de causa raiz e remocao da ameaca
• Recuperacao — Restauracao do sistema a partir de estado limpo verificado
• Pos-incidente — Revisao sem culpa e medidas preventivas

Comprometemo-nos a notificar os municipios contratantes afetados em ate 72 horas apos a confirmacao de uma violacao de dados, em conformidade com a LGPD e o GDPR.

Auditorias de Seguranca

• Testes de penetracao regulares por terceiros independentes
• Validacao de entrada e codificacao de saida em todas as fronteiras
• Cabecalhos Content Security Policy (CSP) e Subresource Integrity (SRI)
• Verificacao de antecedentes para todos os membros da equipe com acesso a infraestrutura
• Treinamento de conscientizacao em seguranca realizado trimestralmente

Conformidade

• LGPD (Lei Geral de Protecao de Dados — Lei 13.709/2018) — conformidade total
• GDPR (Regulamento Geral sobre a Protecao de Dados) — alinhamento como empresa europeia
• ISO 27001 — praticas de gestao de seguranca da informacao alinhadas
• SOC 2 Type II — praticas compativeis
• OWASP Top 10 — mitigacao em todos os projetos

Divulgacao de Vulnerabilidades

Acolhemos a pesquisa de seguranca responsavel. Se voce descobrir uma vulnerabilidade em qualquer sistema da AMRN Tech, por favor reporte para security@amrntech.eu.

• Confirmamos o recebimento de relatorios em ate 24 horas
• Fornecemos uma avaliacao inicial em ate 72 horas
• Nao movemos acoes legais contra pesquisadores de boa-fe
• Creditamos pesquisadores (com permissao) em nossos avisos de seguranca

Contato

Para preocupacoes ou perguntas sobre seguranca, entre em contato com nossa equipe de seguranca pelo e-mail security@amrntech.eu. Para comunicacao criptografada, solicite nossa chave PGP.