1. Nosso Compromisso

A Classificados019 (WeCoded Tecnologia Ltda. — CNPJ 43.906.674/0001-62) compromete-se a manter as melhores práticas de segurança da informação para proteger os dados pessoais e o conteúdo de seus usuários. Esta Política descreve as medidas técnicas e administrativas que adotamos, em conformidade com o art. 46 da LGPD, com a ABNT NBR ISO/IEC 27001 e com referenciais setoriais como CIS Controls e OWASP Application Security Verification Standard (ASVS).

2. Princípios Norteadores

• Confidencialidade: dados são acessíveis apenas a pessoas autorizadas;
• Integridade: dados não são modificados sem autorização;
• Disponibilidade: dados estão acessíveis quando necessários;
• Autenticidade: origem dos dados é verificável;
• Não-repúdio: ações ficam registradas e atribuíveis;
• Privacidade desde a concepção (Privacy by Design): controles de privacidade embutidos no design;
• Minimização: coletamos apenas o necessário (LGPD art. 6º, III);
• Transparência: esta Política e a de Privacidade documentam nossas práticas.

3. Medidas Técnicas

3.1 Infraestrutura

• Hospedagem em datacenter com certificações ISO 27001/SOC 2 quando aplicável;
• Servidores localizados preferencialmente no Brasil;
• Isolamento de rede com VPC e firewalls;
• Hardening de sistemas operacionais (CIS Benchmarks);
• Patches de segurança aplicados regularmente.

3.2 Proteção de Aplicação

• WAF (Web Application Firewall) — proteção contra OWASP Top 10 (Cloudflare);
• Rate limiting para mitigar brute force e DDoS;
• Bot management;
• Headers de segurança HTTP (CSP, HSTS, X-Frame-Options, etc.);
• Sanitização de entrada e codificação de saída para prevenir XSS, SQLi, CSRF;
• Validação server-side de todos os inputs;
• Política de senhas robustas (mín. 8 caracteres com complexidade).

3.3 Logs e Monitoramento

• Logs centralizados de acesso, erros e segurança;
• Retenção mínima conforme Marco Civil (1 ano para conexão, 6 meses para aplicação);
• Monitoramento de anomalias (login fora do padrão, tentativas falhas, escalada de privilégios);
• Alertas em tempo real para eventos críticos;
• Auditoria periódica dos logs.

4. Medidas Administrativas

• Política de Segurança documentada e revisada anualmente;
• Treinamento obrigatório de todos os colaboradores em segurança e LGPD;
• Acordos de confidencialidade (NDAs) com colaboradores e parceiros;
• Background check para funções com acesso a dados sensíveis;
• Política de mesa limpa e tela limpa;
• Gestão de fornecedores com avaliação de risco e contratos com cláusulas de proteção de dados;
• Plano de continuidade de negócio (BCP) e recuperação de desastres (DRP);
• Revisão periódica de acessos.

5. Controle de Acesso

5.1 Autenticação

• Senhas armazenadas com hash bcrypt/argon2 + salt único;
• Política de complexidade de senha (mín. 8 caracteres, maiúscula, número);
• Bloqueio temporário após tentativas falhas;
• Honeypot anti-bot no formulário de login;
• Autenticação multifator (MFA) obrigatória para contas administrativas;
• Sessões com timeout automático.

5.2 Autorização

• RBAC (Role-Based Access Control) — permissões por função;
• Princípio do menor privilégio — acesso apenas ao necessário;
• Segregação de funções (quem cria não aprova);
• Revisão trimestral de acessos.

6. Criptografia

7. Backup e Recuperação

• Backups diários automatizados do banco de dados;
• Backups semanais completos da aplicação;
• Retenção: 30 dias para diários, 12 semanas para semanais, 1 ano para mensais;
• Armazenamento off-site (segundo provedor) e criptografado;
• Testes trimestrais de restauração;
• RTO (Recovery Time Objective): até 24 horas;
• RPO (Recovery Point Objective): até 4 horas.

8. Resposta a Incidentes

8.1 Fluxo

1. Detecção — via monitoramento ou comunicação de terceiros;
2. Contenção — isolar sistema afetado, bloquear acessos;
3. Erradicação — remover causa-raiz;
4. Recuperação — restaurar operação normal;
5. Lições aprendidas — post-mortem documentado.

8.2 Comunicação

Em conformidade com o art. 48 da LGPD, em caso de incidente que possa acarretar risco ou dano relevante aos titulares:

• Notificaremos a ANPD em prazo razoável (sugerido pela ANPD: até 72 horas);
• Notificaremos os titulares afetados descrevendo natureza, dados envolvidos, medidas adotadas e riscos;
• Documentaremos o incidente em registro próprio (RIPD).

9. Programa de Disclosure Responsável (Bug Bounty)

Encorajamos a comunidade de segurança a reportar vulnerabilidades de forma responsável:

• Canal de reporte: security@classificados019.com.br
• PGP: chave pública disponível mediante solicitação;
• Compromisso: não acionaremos legalmente pesquisadores que sigam as regras abaixo;
• Regras:
  • Reportar a vulnerabilidade somente a nós, antes de divulgação pública;
  • Não acessar, modificar ou exfiltrar dados de terceiros;
  • Não executar ataques destrutivos (DDoS, ransomware, etc.);
  • Conceder prazo razoável para correção (90 dias usual).
• Reconhecimento: pesquisadores responsáveis recebem agradecimento público (com consentimento) e podem receber recompensa simbólica.

10. Auditorias e Testes

• Pentest anual por empresa terceira independente;
• Verificação automática de dependências (Dependabot/Snyk);
• Análise estática de código (SAST);
• Análise dinâmica de aplicação (DAST);
• Revisão de código com foco em segurança;
• Mapeamento periódico de superfície de ataque.

11. Contato

• Segurança: security@classificados019.com.br
• Encarregado de Dados (DPO): dpo@classificados019.com.br
• Suporte: suporte@classificados019.com.br

Em conformidade com LGPD art. 46-49. Última atualização: 28 de maio de 2026.