Sou parceiro

Política de Segurança da Informação da GoLedger Tecnologia e Participações LTDA



1. Objetivo

Esta política tem como objetivo estabelecer diretrizes e controles para garantir a segurança das informações tratadas pela GoLedger Tecnologia e Participações LTDA (“GoLedger”), assegurando a confidencialidade, integridade e disponibilidade dos dados, especialmente os dados pessoais e sensíveis, conforme previsto na Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD).


2. Abrangência

Esta política se aplica a todos os colaboradores, parceiros, prestadores de serviços, estagiários e qualquer pessoa/empresa que, de forma direta ou indireta, tenha acesso às informações sob responsabilidade da GoLedger.


3. Princípios Gerais

A GoLedger observa os seguintes princípios no tratamento das informações:

  • Confidencialidade: Assegurar que as informações sejam acessadas somente por pessoas autorizadas.
  • Integridade: Garantir a exatidão e a completude da informação e dos métodos de processamento.
  • Disponibilidade: Garantir que os usuários autorizados tenham acesso àsm  informações sempre que necessário.
  • Responsabilidade e Prestação de Contas: Garantir que todos os envolvidos no tratamento de dados ajam de forma responsável e em conformidade com esta política.


4. Classificação da Informação

As informações sob responsabilidade da GoLedger são classificadas em três níveis:

  • Pública: Pode ser divulgada sem restrições.
  • Interna: Uso exclusivo da equipe GoLedger, sem divulgação externa.
  • Confidencial: Inclui dados sensíveis, estratégicos, pessoais ou de clientes. Seu acesso é restrito e controlado.


5. Proteção de Dados Pessoais

A GoLedger se compromete a tratar os dados pessoais com responsabilidade, segurança e em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), adotando práticas que assegurem a privacidade dos titulares e a integridade das informações.

5.1. Finalidade e Base Legal

  • O tratamento de dados pessoais é realizado exclusivamente conforme a finalidade contratada, e sempre com fundamento em uma das bases legais previstas na LGPD, como consentimento, cumprimento de obrigação legal, execução de contrato, exercício regular de direitos, entre outras.


5.2. Controles de Segurança

  • A empresa implementa controles técnicos e administrativos adequados para proteger os dados pessoais contra:
    • Acessos não autorizados;
    • Perdas acidentais ou intencionais;
    • Alterações indevidas;
    • Divulgação ou uso impróprio.


5.3. Direitos dos Titulares

  • A GoLedger garante o respeito aos direitos dos titulares de dados pessoais, assegurando mecanismos para:
    • Acesso às informações;
    • Correção de dados incompletos, inexatos ou desatualizados;
    • Exclusão de dados, quando aplicável;
    • Portabilidade dos dados, nos termos da legislação.


5.4. Contratos com Terceiros

A empresa firmará contratos com cláusulas específicas de proteção de dados pessoais com seus fornecedores, clientes e parceiros, assegurando que todos os envolvidos cumpram as mesmas obrigações de confidencialidade, segurança e conformidade legal no tratamento das informações.


6. Responsabilidades

  • Diretoria: Aprovar esta política e prover os recursos necessários para sua implementação.
  • Área de Segurança da Informação (ou TI responsável): Implementar controles, monitorar conformidade e responder a incidentes.
  • DPO/Encarregado: Atuar como canal de comunicação com os titulares de dados e a ANPD, além de garantir o cumprimento da LGPD.
  • Como DPO, a GoLedger definiu:
    • Name: Marcos Sarres
    • Email: marcos.sarres@goledger.com.br
    • Phone: +55 61 981167866
  • CSO: Responsável pela segurança de TI da empresa e clientes.
  • Como CSO, a GoLedger definiu:
    • Name: Samuel Venzi
    • Email: samuel.venzi@goledger.com.br
    • Phone: +55 61 9945-7008
  • Colaboradores e Terceiros: Zelar pelas informações a que tenham acesso e seguir as diretrizes desta política.



7. Controle de Acesso

O objetivo deste item é assegurar que o acesso às informações e aos sistemas da empresa seja concedido somente a pessoas autorizadas, com os direitos mínimos necessários para o desempenho de suas funções.

7.1. Princípios Gerais

  • O acesso aos ativos de informação será concedido com base no princípio do menor privilégio e da necessidade de saber.
  • Todo acesso deve ser identificado, autenticado e registrado.
  • Apenas as pessoas e entidades que necessitem dos acessos terão esse permissionamento concedido.


7.2. Gestão de Identidades

  • Cada colaborador, prestador de serviço ou terceiro terá um identificador único de usuário.
  • Contas genéricas e compartilhadas são proibidas, salvo exceções formalmente autorizadas pela área de segurança da informação.
  • Processos de criação, alteração e revogação de acessos devem ser documentados.


7.3. Autenticação

  • É obrigatório o uso de senhas fortes, com no mínimo 8 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais.
  • Sempre que possível senha pode ser alterada periodicamente (ex: a cada 90 dias)
  • Sempre que possível, deve-se implementar autenticação multifator (MFA) para sistemas críticos.


7.4. Controle de Acesso Lógico

  • Sistemas e aplicações devem possuir mecanismos de controle de acesso baseados em perfil, função ou grupo.
  • O acesso a sistemas críticos deve ser revisto periodicamente (ex: a cada 6 meses) para evitar privilégios indevidos.
  • Logs de acesso devem ser registrados e monitorados.


7.5. Acesso Remoto

  • Dispositivos utilizados para acesso remoto devem estar atualizados, protegidos com antivírus e seguir as mesmas normas de segurança dos equipamentos corporativos.


7.6. Acesso de Terceiros

  • Terceiros (fornecedores, parceiros, consultores) só terão acesso às informações da empresa mediante autorização formal e contrato de confidencialidade.
  • O acesso de terceiros deve ser temporário e restrito ao mínimo necessário.


7.7. Revogação de Acesso

  • O acesso de qualquer colaborador ou terceiro deve ser imediatamente revogado em caso de desligamento, mudança de função ou término de contrato.
  • A revogação deve ser documentada e auditável.


7.8. Auditoria e Monitoramento

  • A empresa deve manter registros de acesso aos sistemas críticos.
  • O uso inadequado de acessos será tratado como violação da política de segurança e poderá resultar em sanções disciplinares.
  • Os acessos terão registros de log auditável e guardado por no mínimo 5 anos.


8. Gestão de Armazenamento e Backups

A GoLedger adota um processo formal de gestão de armazenamento e backups com o objetivo de assegurar a disponibilidade, integridade e recuperação de informações críticas da empresa, mesmo em situações de falha, ataque ou desastre. Esse processo é regido pelas seguintes diretrizes:

8.1. Armazenamento em nuvem ou on-premise

  • O armazenamento de dados e de sistemas poderá ser realizado em ambiente de nuvem ou on-premises, dependendo da disponibilidade da infra-estrutura de GoLedger e do cliente.


8.2. Política de Backup

  • Todos os sistemas, bancos de dados e arquivos críticos da empresa estão incluídos em rotinas de backup planejadas, com frequência de execução baseada na criticidade dos dados e na necessidade de recuperação operacional.


8.3. Armazenamento Seguro

  • As cópias de segurança devem ser armazenadas em locais seguros, utilizando principalmente serviços de armazenamento em nuvem com criptografia e controle de acesso restrito, garantindo proteção contra acessos não autorizados.


8.4. Testes Periódicos

  • A eficácia dos backups deve ser verificada por meio de testes de restauração realizados frequentemente com registros documentados das evidências e resultados, a fim de garantir que os dados possam ser recuperados quando necessário.


8.5. Retenção e Ciclo de Vida

  • Os backups devem seguir uma política de retenção conforme a natureza dos dados e obrigações legais, com descarte seguro após o período definido, utilizando métodos que garantam a completa eliminação dos dados de forma irreversível.


9. Treinamento e Conscientização

A GoLedger entende que a segurança da informação é responsabilidade de todos os colaboradores. Por isso, será mantido um programa contínuo de treinamento e conscientização, com os seguintes objetivos:

9.1. Treinamentos Periódicos

  • Todos os colaboradores da GoLedger receberão treinamentos periódicos sobre:
    • Segurança da informação;
    • Privacidade e proteção de dados (em conformidade com a LGPD);
    • Realizar programa de conscientização de segurança da informação;
    • Boas práticas digitais no uso dos sistemas e recursos corporativos;
    • Identificação e resposta a incidentes de segurança.


9.2. Novos Colaboradores

  • Cada novo colaborador receberá sessão de integração (onboarding), antes de receberem acesso a sistemas e dados.
  • O acesso aos sistemas, repositórios, artefatos e códigos da GoLedger só serão disponibilizados após assinatura pelo colaborador do acordo de propriedade intelectual e direitos autorais da GoLedger (Cláusula 10).


9.3. Atualizações e Reciclagem

  • Os conteúdos dos treinamentos serão atualizados conforme mudanças legais, normativas ou tecnológicas.
  • Os treinamentos de reciclagem serão aplicados, no mínimo, anualmente ou sempre que houver necessidade.


9.4. Registros e Avaliações

  • A participação nos treinamentos será registrada e documentada.
  • Poderão ser aplicadas avaliações para medir o nível de compreensão dos colaboradores sobre os temas tratados.


10. Propriedade Intelectual e Direitos Autorais

A GoLedger reconhece e valoriza a proteção da propriedade intelectual e dos direitos autorais, tanto dos ativos próprios quanto dos pertencentes aos seus clientes. Esta política estabelece diretrizes para o tratamento seguro, ético e legal dessas informações.

10.1. Ativos Intelectuais da GoLedger

  • Todo conteúdo técnico, código-fonte, algoritmos, modelos de dados, documentação, materiais de treinamento, marcas, logotipos e demais ativos criados pela GoLedger são considerados propriedade intelectual e protegidos por direitos autorais da empresa.
  • Esses ativos devem ser armazenados, acessados e manipulados de forma segura e controlada, sendo vedada sua reprodução, distribuição ou reutilização sem autorização expressa da direção da empresa.
  • A GoLedger se reserva todos os direitos legais sobre esses ativos, incluindo a possibilidade de tomar medidas administrativas e jurídicas em caso de violação.


10.2. Produtos e Soluções para Clientes

  • Soluções, customizações e entregas técnicas desenvolvidas para clientes podem conter informações, códigos ou documentos que constituem propriedade intelectual ou direitos autorais do cliente.
  • A GoLedger compromete-se a respeitar integralmente os termos contratuais, tratados de confidencialidade e cláusulas de propriedade acordadas.
  • Não é permitida a reutilização, cópia ou distribuição de ativos de um cliente para outro, salvo mediante autorização formal expressa.


10.3. Colaboradores e Terceiros

  • Todos os colaboradores, estagiários e prestadores de serviço devem:
    • Assinar o Contrato de Confiabilidade e Direitos Autorais;
    • Utilizar os ativos de informação de forma ética e de acordo com as normas legais;
    • Comunicar qualquer uso indevido ou suspeita de violação desses direitos.
  • O uso de conteúdo de terceiros (imagens, bibliotecas, ferramentas, etc.) nos projetos da empresa deve obedecer às licenças aplicáveis e aos direitos de uso previstos por lei.


10.4. Fiscalização e Penalidades

  • A GoLedger poderá auditar periodicamente o uso de ativos protegidos e aplicará sanções administrativas, civis ou criminais em caso de descumprimento desta política.


11. Gestão de Ativos

A GoLedger mantém controle rigoroso sobre todos os ativos de informação e equipamentos utilizados na empresa, visando garantir sua segurança, rastreabilidade e uso adequado.

11.1. Identificação de Ativos

  • Todos os ativos relevantes à segurança da informação, como notebooks, desktops, dispositivos móveis, servidores, mídias removíveis e sistemas, são identificados, classificados e registrados em inventário.
  • Cada ativo tem um departamento vinculado.


11.2. Inventário Centralizado

  • A GoLedger mantém um inventário centralizado e atualizado de todos os ativos, com informações tais como:
    • Número de série ou identificação interna;
    • Tipo e modelo do equipamento;
    • Localização física ou lógica;
    • Situação (ativo, em manutenção, desativado);
    • Data de entrega e de devolução.


11.3. Entrega e Devolução de Equipamentos

  • O uso de qualquer equipamento da empresa está condicionado à assinatura de termo de responsabilidade.
  • Na saída do colaborador ou troca de função, é obrigatória a devolução dos ativos, com verificação do estado e limpeza de dados, se necessário.


11.4. Uso Adequado e Proteção

  • Os equipamentos devem ser utilizados exclusivamente para fins profissionais, conforme as diretrizes da empresa.
  • Cabe ao colaborador zelar pela integridade física e lógica do equipamento, incluindo proteção contra perdas, furtos, acesso não autorizado e danos.


11.5. Ativos Lógicos e Digitais

  • Sistemas, licenças de software, dados armazenados, ambientes em nuvem e credenciais de acesso também são considerados ativos da informação e devem ser gerenciados com o mesmo nível de controle e responsabilidade.


11.6. Descarte Seguro

  • O descarte de ativos obsoletos ou danificados deve ser realizado de forma segura, com remoção completa e irreversível dos dados antes do descarte, reaproveitamento ou doação.


12. Tratamento de Vulnerabilidades

A GoLedger adota um processo contínuo e estruturado para a identificação, análise, tratamento e mitigação de vulnerabilidades técnicas em seus ativos de informação, garantindo a proteção dos sistemas, aplicações, dispositivos e dados corporativos.

12.1. Identificação de Vulnerabilidades

  • A identificação de vulnerabilidades é realizada por meio de:
    • Scans automatizados e/ou semiautomatizados, executados de forma frequente em sistemas, servidores, redes e aplicações;
    • Análises técnicas de segurança realizadas por equipes internas ou terceiros autorizados;
    • Monitoramento de alertas de segurança, publicações de fabricantes e bases de dados de vulnerabilidades conhecidas (ex: CVE).


12.2. Análise de Vulnerabilidades em Códigos-Fonte

  • Todos os códigos desenvolvidos internamente pela equipe da GoLedger passam por análises periódicas de segurança, com o objetivo de identificar falhas de implementação, dependências inseguras e práticas de codificação inadequadas.
  • Essas análises incluem:
    • Ferramentas de análise estática de código-fonte automatizadas integradas ao pipeline de desenvolvimento;
    • Revisões manuais de código, especialmente para componentes críticos ou que tratem dados sensíveis;
    • Avaliação de bibliotecas e pacotes de terceiros, para garantir que não introduzem vulnerabilidades conhecidas.
  • O processo de análise deve estar integrado ao fluxo de CI/CD e seguir as diretrizes de desenvolvimento seguro adotadas pela empresa.
  • Vulnerabilidades encontradas devem ser registradas, classificadas por severidade, e tratadas conforme os procedimentos definidos neste item da política.


12.3. Testes de Invasão

  • A GoLedger realiza testes de invasão (Pentest) com o objetivo de identificar vulnerabilidades técnicas exploráveis em seu ambiente de TI,
  • Os testes são conduzidos por profissionais especializados com qualidade técnica na avaliação.
  • A realização de Pentest deve ocorrer conforme cronograma de segurança da informação ou sempre que forem realizadas mudanças significativas na infraestrutura, sistemas ou aplicações que impactem a superfície de ataque.


12.4. Classificação e Priorização

  • As vulnerabilidades detectadas serão classificadas com base em seu nível de risco (baixo, médio, alto ou crítico), considerando:
    • Impacto potencial no negócio;
    • Facilidade de exploração;
    • Existência de exploits conhecidos;
    • Exposição do ativo (internet, rede interna, etc.).


12.5. Tratamento e Gestão de Incidentes

  • Após a descoberta de incidentes ou falhas de sistemas (tais como a presença de códigos maliciosos, ataques hacker ou uso não autorizado ou inadequado de sistemas corporativos).
  • A resposta a incidentes seguirá procedimentos definidos e contará com o envolvimento da equipe técnica e das áreas impactadas, garantindo a mitigação de riscos e a preservação dos ativos da empresa.
  • Vulnerabilidades críticas devem ser remediadas imediatamente, ou conforme plano de ação aprovado pela área de segurança da informação.
  • Correções podem envolver:
    • Aplicação de patches de segurança;
    • Reconfiguração de sistemas;
    • Atualização de software ou firmware;
    • Isolamento ou substituição de ativos vulneráveis.


12.6. Registro e Evidência

  • Todas as vulnerabilidades identificadas, ações corretivas aplicadas e prazos serão documentados e armazenados para fins de auditoria e melhoria contínua.

12.7. Testes Pós-Correção

  • Após a aplicação de correções, devem ser realizados novos testes ou scans para garantir a eficácia da remediação.

12.8. Responsabilidades

  • A área de Tecnologia da Informação é responsável por coordenar os scans, análises e correções técnicas.
  • Equipes de desenvolvimento devem realizar revisões de segurança em código e infraestrutura como parte do ciclo de desenvolvimento seguro.


13. Controle e Monitoramento

A GoLedger estabelece como obrigatórios os controles de segurança voltados à proteção do acesso digital a seus sistemas, redes, aplicações e dados, por meio da utilização de tecnologias especializadas.

13.1. Firewalls

  • A empresa implementa e mantém firewalls de perímetro e internos para filtrar e controlar o tráfego de rede, com regras definidas de acordo com as necessidades operacionais e princípios de segurança.
  • As regras de firewall são revisadas periodicamente para garantir alinhamento com as políticas de acesso e prevenção de riscos.


13.2. Criptografia de armazenamento

  • O armazenamento de dados em servidores e estações de trabalho serão realizados sempre que possível com utilização de criptografia nos discos dos dispositivos.


13.3. Prevenção contra Perda de Dados (DLP)

  • Sempre que aplicável, são utilizadas soluções de Data Loss Prevention (DLP) para prevenir a exposição, vazamento ou transmissão indevida de informações confidenciais, tanto em repouso quanto em trânsito.
  • As políticas de DLP devem cobrir o uso de e-mails, armazenamento em nuvem, dispositivos removíveis e outras formas de compartilhamento de dados.


13.3. Application Firewall (WAF)

  • Sempre que aplicável, aplicações críticas expostas à internet serão protegidas com Web Application Firewall (WAF), capaz de identificar e bloquear tentativas de exploração de vulnerabilidades comuns, como injeções SQL, XSS e outras ameaças digitais.


13.4. Sistemas de Detecção de Intrusão (IDS) e Endpoint Detection and Response (EDR)

  • Quando aplicável, sistemas da GoLedger serão monitorados por Sistemas de Detecção de Intrusão (IDS) e Endpoint Detection and Response (EDR) com alertas em tempo real sobre comportamentos anômalos e possíveis tentativas de invasão.
  • Os alertas gerados pelos IDS devem ser monitorados regularmente, e ações corretivas devem ser tomadas conforme os níveis de criticidade detectados.


13.5. Atualização de Patches de Segurança

  • Todos os sistemas operacionais, softwares, aplicações e dispositivos utilizados pela GoLedger são atualizados com os patches de segurança mais recentes, conforme critérios de homologação definidos pelos fabricantes.
  • As atualizações devem ser aplicadas de forma controlada, respeitando:
    • Políticas de teste e validação prévia em ambiente de homologação;
    • Avaliação do impacto no ambiente produtivo;
    • Prazos definidos com base na criticidade da vulnerabilidade corrigida.
  • A não aplicação de um patch por justificativa técnica ou operacional deve ser formalmente documentada, com definição de medidas compensatórias quando necessário.


13.6. Atualização de Patches de Segurança

  • É obrigatória a instalação de software de proteção contra malwares (antivírus/antimalware) em todas as estações de trabalho (workstations) e servidores da empresa.
  • Esses softwares devem ser atualizados automaticamente e constantemente, garantindo a proteção contra ameaças recentes e conhecidas.
  • A proteção deve incluir, sempre que possível, mecanismos de detecção em tempo real, análise comportamental e bloqueio de arquivos suspeitos.


13.7. Integração e Monitoramento Contínuo

  • Sempre que possível, os controles descritos devem ser integrados com soluções de monitoramento centralizado, permitindo correlação de eventos, geração de alertas e resposta a incidentes de forma eficiente.
  • Os acessos serão revisados frequentemente, assim como os seus controles.
  • Durante a revisão, será gerado documento com a formalização das alterações dos acessos.


14. Gestão de Mudanças

A GoLedger estabelece um processo formal de Gestão de Mudanças para garantir que qualquer alteração em sistemas, infraestrutura, serviços, aplicações ou componentes relacionados à segurança da informação ocorra de forma controlada, segura e com o mínimo de impacto aos processos de negócio.

14.1. Avaliação de Riscos

  • Antes de qualquer mudança, deve ser realizada uma análise de riscos, avaliando impactos na segurança, disponibilidade, integridade e confidencialidade das informações e sistemas afetados.


14.2. Planejamento e Aprovação

  • Todas as mudanças devem ser documentadas e submetidas à aprovação prévia por um comitê ou responsável designado, incluindo escopo, responsáveis, cronograma, plano de comunicação e plano de retorno (rollback).


14.3. Notificação e Comunicação

  • As partes interessadas devem ser informadas previamente sobre a mudança, incluindo áreas técnicas, usuários impactados e stakeholders, com informações claras sobre eventuais indisponibilidades ou alterações operacionais.


14.4. Execução Controlada

  • As mudanças devem ser realizadas de forma segura e controlada, preferencialmente fora do horário de pico, com monitoramento ativo durante e após a implementação.


14.5. Testes e Validação

  • Devem ser realizados testes prévios em ambiente de homologação sempre que possível, bem como validações pós-implementação para garantir que a mudança foi eficaz e segura.


14.6. Atualização de Documentação

  • Após a implementação, toda a documentação técnica, procedimentos operacionais e controles de segurança afetados devem ser atualizados para refletir a nova realidade do ambiente.


15. Sanções e Penalidades

O descumprimento desta política poderá resultar em sanções disciplinares, conforme regulamento interno, e, em casos mais graves, responsabilização civil, penal ou administrativa.

16. Revisões e Atualizações

Esta política será revista anualmente ou sempre que houver alterações legislativas, tecnológicas ou organizacionais relevantes.

GoLedger Tecnologia e Participações LTDA

Versão: 1.2

Aprovada em: 15/04/2025

Revisada em: 29/5/2025

Revisão prevista para: 15/10/2025

Você quer saber o potencial do blockchain? Inscreva-se em nossa newsletter para receber informações atualizadas, blogs e promoções.

Revolucionamos a gestão tecnológica com blockchain: democratizamos o acesso a soluções inovadoras, otimizamos processos, melhoramos a segurança e promovemos a sustentabilidade.
Linkedin Youtube Discord Medium
Produtos
Serviços
Empresa
Copyright © 2025 Goledger Tecnologia E Participacoes Ltda®
Todos Os Direitos Reservados