POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
PLIKS TECNOLOGIA LTDA. — CNPJ: 58.616.000.127
Avenida Copacabana 177, Sala 55, Alphaville, Barueri/SP — CEP 06472-001
1. OBJETIVO E ESCOPO
Esta Política estabelece as diretrizes de segurança da informação da PLIKS TECNOLOGIA LTDA., visando proteger os ativos de informação, garantir a continuidade dos negócios e assegurar a conformidade com a legislação aplicável.
Escopo: Aplica-se a todos os colaboradores, prestadores de serviços, parceiros e qualquer pessoa que tenha acesso aos sistemas e informações da Pliks.
2. PRINCÍPIOS DE SEGURANÇA
2.1. Tríade CIA
| Princípio |
Descrição |
Controles |
| Confidencialidade |
Garantir que informações sejam acessadas apenas por pessoas autorizadas |
Criptografia, controle de acesso, classificação de dados |
| Integridade |
Assegurar que dados não sejam alterados de forma não autorizada |
Hashes, assinaturas digitais, logs de auditoria |
| Disponibilidade |
Garantir acesso às informações quando necessário |
Redundância, backups, disaster recovery |
3. CLASSIFICAÇÃO DA INFORMAÇÃO
| Nível |
Descrição |
Exemplos |
Controles |
| Confidencial |
Informações sensíveis que podem causar danos significativos |
Dados financeiros de clientes, senhas, chaves criptográficas |
Criptografia AES-256, acesso restrito, logs detalhados |
| Interno |
Informações de uso interno da empresa |
Políticas, procedimentos, relatórios internos |
Controle de acesso por função, não divulgação externa |
| Público |
Informações que podem ser divulgadas |
Site institucional, materiais de marketing |
Revisão antes da publicação |
4. CONTROLE DE ACESSO
4.1. Princípios
- Need-to-know: Acesso apenas às informações necessárias para a função
- Least privilege: Privilégios mínimos necessários
- Segregation of duties: Separação de funções críticas
4.2. Autenticação
| Sistema |
Requisitos |
| Plataforma do usuário |
Senha forte + 2FA obrigatório (SMS, Email ou Authenticator) |
| Sistemas administrativos |
Senha forte + 2FA + VPN + IP allowlist |
| Infraestrutura (AWS/GCP) |
SSO + MFA + IAM roles + audit logs |
| Banco de dados |
Credenciais rotacionadas + acesso via bastion host |
4.3. Política de Senhas
- Mínimo 12 caracteres
- Combinação de maiúsculas, minúsculas, números e símbolos
- Não reutilizar últimas 12 senhas
- Troca obrigatória a cada 90 dias (sistemas administrativos)
- Bloqueio após 5 tentativas inválidas
5. CRIPTOGRAFIA
5.1. Padrões Utilizados
| Tipo |
Algoritmo |
Aplicação |
| Dados em trânsito |
TLS 1.3 |
Todas as comunicações HTTPS |
| Dados em repouso |
AES-256 |
Banco de dados, backups, arquivos |
| Senhas |
bcrypt (cost 12) |
Hash de senhas de usuários |
| Tokens |
JWT com RS256 |
Tokens de autenticação |
| Chaves PIX |
AES-256 + HSM |
Dados financeiros sensíveis |
5.2. Gestão de Chaves
- Chaves armazenadas em serviços gerenciados (AWS KMS / GCP Cloud KMS)
- Rotação automática de chaves a cada 365 dias
- Segregação de chaves por ambiente (dev, staging, prod)
- Backup seguro de chaves críticas
6. SEGURANÇA DE REDE
6.1. Arquitetura
- WAF (Web Application Firewall): Cloudflare com regras customizadas
- DDoS Protection: Mitigação automática de ataques
- Firewall: Regras de ingress/egress por security groups
- VPN: Acesso administrativo apenas via VPN
- Segmentação: Redes separadas para frontend, backend, banco de dados
6.2. Monitoramento
- IDS/IPS para detecção de intrusões
- Análise de tráfego em tempo real
- Alertas automatizados para anomalias
- SOC 24/7 (via parceiro especializado)
7. SEGURANÇA DE APLICAÇÕES
7.1. Desenvolvimento Seguro (SDLC)
- Code review obrigatório para todos os PRs
- Análise estática de código (SAST) automatizada
- Dependências verificadas contra vulnerabilidades conhecidas
- Testes de segurança integrados ao CI/CD
- Treinamento em OWASP Top 10 para desenvolvedores
7.2. Proteção contra OWASP Top 10
| Vulnerabilidade |
Controle |
| Injection |
Prepared statements, ORM, input validation |
| Broken Authentication |
2FA, session management, rate limiting |
| Sensitive Data Exposure |
Criptografia, mascaramento, HTTPS obrigatório |
| XSS |
Content Security Policy, output encoding |
| CSRF |
Tokens CSRF, SameSite cookies |
8. SEGURANÇA DE INTELIGÊNCIA ARTIFICIAL
A Pliks utiliza sistemas de IA para resolução de mercados e outras funcionalidades críticas. Esta seção define os controles de segurança aplicados.
8.1. Arquitetura de IA Segura
| Componente |
Provedor |
Controles de Segurança |
| Modelo Principal |
Anthropic Claude 3.5 Haiku |
SOC 2, API autenticada, logs de uso |
| Fallback |
DeepSeek V3/R1 |
API segura, timeout configurado |
| Oráculos de Dados |
CoinGecko, Binance, API-Football |
Multi-fonte, validação cruzada, cache |
8.2. Controles de Resolução de Mercados
Sistema Multi-Oracle: Todas as resoluções automáticas utilizam múltiplas fontes de dados independentes para prevenir manipulação e garantir precisão.
- Consenso Multi-Fonte: Mínimo de 2 oráculos concordantes para resolução automática
- Threshold de Confiança: Resolução automática apenas com ≥85% de confiança
- Revisão Humana: Casos com confiança <70% requerem análise manual
- Logs de Auditoria: Todas as decisões de IA são registradas com evidências
- Sistema de Disputas: Usuários podem contestar resoluções
8.3. Proteção contra Abusos de IA
- Rate limiting em endpoints de IA
- Monitoramento de custos em tempo real
- Detecção de padrões de abuso
- Sanitização de inputs antes de enviar para IA
- Validação de outputs antes de aplicar resoluções
8.4. Privacidade de Dados em IA
- Nenhum dado pessoal de usuários é enviado para modelos de IA
- Prompts contêm apenas dados de mercado públicos
- Logs de IA são armazenados com pseudonimização
- Retenção de logs de IA: 90 dias
9. BACKUP E RECUPERAÇÃO
9.1. Política de Backup
| Tipo |
Frequência |
Retenção |
| Banco de dados (completo) |
Diário |
30 dias |
| Banco de dados (incremental) |
Horário |
7 dias |
| Logs de aplicação |
Contínuo |
90 dias |
| Configurações |
A cada alteração |
365 dias |
8.2. Disaster Recovery
- RPO (Recovery Point Objective): 1 hora
- RTO (Recovery Time Objective): 4 horas
- Infraestrutura multi-região disponível
- Testes de DR semestrais
9. GESTÃO DE INCIDENTES
9.1. Processo de Resposta
- Identificação: Detectar e reportar o incidente
- Contenção: Limitar o impacto imediato
- Erradicação: Eliminar a causa raiz
- Recuperação: Restaurar operações normais
- Lições aprendidas: Documentar e melhorar
9.2. Notificações
Incidentes que afetem dados pessoais devem ser notificados à ANPD e aos titulares em até 72 horas, conforme LGPD (Art. 48).
10. CONFORMIDADE E AUDITORIA
- Auditorias internas trimestrais
- Pentest anual por empresa especializada
- Certificações em andamento: SOC 2 Type II, ISO 27001
- Logs de auditoria mantidos por 5 anos
11. CONTATOS
Central de Atendimento:
📞 0800 271 8281 (ligação gratuita)
Equipe de Segurança: security@pliks.io
Incidentes: incident@pliks.io
DPO: privacidade@pliks.io
Compliance: compliance@pliks.io
Curiosidade: nosso 0800 271 8281 carrega os dígitos de Euler (e ≈ 2.71828...) — a constante da probabilidade.