Esta política tem como objetivo estabelecer diretrizes e controles para garantir a segurança das informações tratadas pela GoLedger Tecnologia e Participações LTDA (“GoLedger”), assegurando a confidencialidade, integridade e disponibilidade dos dados, especialmente os dados pessoais e sensíveis, conforme previsto na Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD).
Esta política se aplica a todos os colaboradores, parceiros, prestadores de serviços, estagiários e qualquer pessoa que, de forma direta ou indireta, tenha acesso às informações sob responsabilidade da GoLedger.
A GoLedger observa os seguintes princípios no tratamento das informações:
As informações sob responsabilidade da GoLedger são classificadas em três níveis:
A GoLedger se compromete a tratar os dados pessoais com responsabilidade, segurança e em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), adotando práticas que assegurem a privacidade dos titulares e a integridade das informações.
O objetivo deste item é assegurar que o acesso às informações e aos sistemas da empresa seja concedido somente a pessoas autorizadas, com os direitos mínimos necessários para o desempenho de suas funções.
O acesso aos ativos de informação será concedido com base no princípio do menor privilégio e da necessidade de saber.
Todo acesso deve ser identificado, autenticado e registrado.
Apenas as pessoas e entidades que necessitem dos acessos terão esse permissionamento concedido.
Cada colaborador, prestador de serviço ou terceiro terá um identificador único de usuário.
Contas genéricas e compartilhadas são proibidas, salvo exceções formalmente autorizadas pela área de segurança da informação.
Processos de criação, alteração e revogação de acessos devem ser documentados.
É obrigatório o uso de senhas fortes, com no mínimo 8 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais.
Sempre que possível, senhas devem ser alteradas periodicamente (ex: a cada 90 dias).
Sempre que possível, deve-se implementar autenticação multifator (MFA) para sistemas críticos.
O acesso a sistemas críticos deve ser revisto periodicamente (ex: a cada 6 meses) para evitar privilégios indevidos.
Logs de acesso devem ser registrados e monitorados.
Dispositivos utilizados para acesso remoto devem estar atualizados, protegidos com antivírus e seguir as mesmas normas de segurança dos equipamentos corporativos.
Terceiros (fornecedores, parceiros, consultores) só terão acesso às informações da empresa mediante autorização formal e contrato de confidencialidade.
O acesso de terceiros deve ser temporário e restrito ao mínimo necessário.
O acesso de qualquer colaborador ou terceiro deve ser imediatamente revogado em caso de desligamento, mudança de função ou término de contrato.
A revogação deve ser documentada e auditável.
A empresa deve manter registros de acesso aos sistemas críticos.
O uso inadequado de acessos será tratado como violação da política de segurança e poderá resultar em sanções disciplinares.
Os acessos terão registros de log auditável e guardado por no mínimo 5 anos.
A GoLedger buscará sempre estabelecer regras e boas práticas para o uso de dispositivos pessoais (como notebooks, smartphones e tablets) em atividades laborais na empresa com o intuito de preservar a segurança da informação, a integridade dos sistemas corporativos e a proteção de dados pessoais e sensíveis tratados pela organização.
É permitida a utilização de dispositivos pessoais para fins profissionais, desde que expressamente autorizada pela área de Tecnologia da Informação.
Todos os dispositivos utilizados deverão estar devidamente atualizados com sistemas operacionais e softwares antivírus ativos e atualizados.
O acesso a sistemas corporativos, repositórios de código, plataformas SaaS e dados sensíveis deverá ser realizado preferencialmente por meio de redes seguras (VPN quando aplicável) e utilizando autenticação multifator (MFA).
É proibido o armazenamento local, em dispositivos pessoais, de dados classificados como sigilosos, sensíveis ou estratégicos, salvo quando autorizado formalmente e com criptografia.
Em caso de perda, roubo ou comprometimento do dispositivo pessoal, o colaborador deve comunicar imediatamente o time de Segurança da Informação para mitigação de riscos.
A GoLedger reserva-se o direito de restringir o acesso de dispositivos não conformes ou que representem riscos à segurança da informação.
O uso de dispositivos pessoais está sujeito às políticas internas de auditoria e conformidade com a LGPD e demais regulamentos aplicáveis.
O colaborador é responsável por garantir que seu dispositivo esteja em conformidade com as políticas e que sua utilização para fins corporativos não comprometa a segurança da organização ou de terceiros.
A Diretoria Técnica e de Segurança poderá fornecer orientações técnicas, apoiar a configuração dos dispositivos e estabelecer o uso conforme necessário.
A GoLedger adota um processo formal de gestão de armazenamento e backups com o objetivo de assegurar a disponibilidade, integridade e recuperação de informações críticas da empresa, mesmo em situações de falha, ataque ou desastre. Esse processo é regido pelas seguintes diretrizes:
O armazenamento de dados e de sistemas poderá ser realizado em ambiente de nuvem ou on-premises, dependendo da disponibilidade da infraestrutura de GoLedger e do cliente.
Todos os sistemas, bancos de dados e arquivos críticos da empresa estão incluídos em rotinas de backup planejadas, com frequência de execução baseada na criticidade dos dados e na necessidade de recuperação operacional.
As cópias de segurança devem ser armazenadas em locais seguros, utilizando principalmente serviços de armazenamento em nuvem com criptografia e controle de acesso restrito, garantindo proteção contra acessos não autorizados.
A eficácia dos backups deve ser verificada por meio de testes de restauração realizados frequentemente com registros documentados das evidências de resultados, a fim de garantir que os dados possam ser recuperados quando necessário.
Os backups devem seguir uma política de retenção conforme a natureza dos dados e obrigações legais, com suporte seguro após o período definido, utilizando métodos que garantam a completa eliminação dos dados de forma irreversível.
A GoLedger entende que a segurança da informação é responsabilidade de todos os colaboradores. Por isso, será mantido um programa contínuo de treinamento e conscientização, com os seguintes objetivos:
Todos os colaboradores da GoLedger deverão fazer treinamentos periódicos sobre:
Segurança da informação;
Realizar programa de conscientização de segurança da informação;
Boas práticas digitais no uso dos sistemas e recursos corporativos;
Identificação e resposta a incidentes de segurança;
Privacidade e proteção de dados (em conformidade com a LGPD).
Para este tópico, o conteúdo do treinamento deverá abordar, no mínimo:
Princípios da LGPD;
Direitos dos titulares de dados;
Bases legais para tratamento;
Boas práticas e condutas no uso de dados pessoais;
Penalidades e riscos decorrentes de não conformidade.
Cada novo colaborador receberá sessão de integração (onboarding), antes de receberem acesso a sistemas e dados.
O acesso aos sistemas, repositórios, artefatos e códigos da GoLedger só serão disponibilizados após assinatura pelo colaborador do acordo de propriedade intelectual e direitos autorais da GoLedger (Cláusula 10).
Os treinamentos de reciclagem serão aplicados, no mínimo, anualmente ou sempre que houver necessidade.
A área de administração e finanças será responsável por:
Indicar os treinamentos;
Registrar e documentar a participação nos treinamentos;
Avaliar a retenção de conhecimento para medir o nível de compreensão dos colaboradores sobre os dados tratados.
A GoLedger reconhece e valoriza a proteção da propriedade intelectual e dos direitos autorais, tanto dos ativos próprios quanto dos pertencentes aos seus clientes. Esta política estabelece diretrizes para o tratamento seguro, ético e legal dessas informações.
Todo conteúdo técnico, código-fonte, algoritmos, modelos de dados, documentação, materiais de treinamento, marcas, logotipos e demais ativos criados pela GoLedger são considerados propriedade intelectual e protegidos por direitos autorais da empresa.
Esses ativos devem ser armazenados, acessados e manipulados de forma segura e controlada, sendo vedada sua reprodução, distribuição ou reutilização sem autorização expressa da direção da empresa.
A GoLedger se reserva todos os direitos legais sobre esses ativos, incluindo a possibilidade de tomar medidas administrativas e jurídicas em caso de violação.
Soluções, customizações e entregas técnicas desenvolvidas para clientes podem conter informações, códigos ou documentos que constituem propriedade intelectual ou direitos autorais do cliente.
A GoLedger compromete-se a respeitar integralmente os termos contratuais, tratados de confidencialidade e cláusulas de propriedade acordadas.
Não é permitida a reutilização, replicação ou distribuição de ativos de um cliente para outro, salvo mediante autorização formal expressa.
Todos os colaboradores, estagiários e prestadores de serviço devem:
Assinar o Contrato de Confidencialidade e Direitos Autorais;
Utilizar os ativos de informação de forma ética e de acordo com as normas legais;
Comunicar qualquer uso indevido ou suspeita de violação desses direitos.
O uso de conteúdo de terceiros (imagens, bibliotecas, ferramentas, etc.) nos projetos da empresa deve obedecer às licenças aplicáveis e aos direitos de uso previstos em lei.
A GoLedger poderá auditar periodicamente o uso de ativos protegidos e aplicar sanções administrativas, civis ou criminais em caso de descumprimento desta política.
A GoLedger mantém controle rigoroso sobre todos os ativos de informação e equipamentos utilizados na empresa, visando garantir sua segurança, rastreabilidade e uso adequado.
Todos os ativos relevantes à segurança da informação, como notebooks, desktops, dispositivos móveis, servidores, mídias removíveis e sistemas, são identificados, classificados e registrados em inventário.
Cada ativo tem um departamento vinculado.
A GoLedger mantém um inventário centralizado e atualizado de todos os ativos, com informações tais como:
Número de série ou identificação interna;
Tipo e modelo do equipamento;
Localização física ou lógica;
Situação (ativo, em manutenção, desativado);
Data de entrega e de devolução.
O uso de qualquer equipamento da empresa está condicionado à assinatura de termo de responsabilidade.
Na saída do colaborador ou troca de função, é obrigatória a devolução dos ativos, com verificação do estado e limpeza de dados, se necessário.
Os equipamentos devem ser utilizados exclusivamente para fins profissionais, conforme as diretrizes da empresa.
Cabe ao colaborador zelar pela integridade física e lógica do equipamento, adotando proteção contra perdas, furtos, acesso não autorizado e danos.12.5. Ativos Lógicos e Digitais
Sistemas, licenças de software, dados armazenados, ambientes em nuvem e credenciais de acesso também são considerados ativos da informação e devem ser gerenciados com o mesmo nível de controle e responsabilidade.
O descarte de ativos obsoletos ou danificados deve ser realizado de forma segura, com remoção completa e irreversível dos dados antes do descarte, reaproveitamento ou doação.
A GoLedger adota um processo contínuo e estruturado para a identificação, análise, tratamento e mitigação de vulnerabilidades técnicas em seus ativos de informação, garantindo a proteção dos sistemas, aplicações, dispositivos e dados corporativos.
A identificação de vulnerabilidades é realizada por meio de:
Scans automatizados e/ou semiautomatizados, executados de forma frequente em sistemas, servidores, redes e aplicações;
Análises técnicas de segurança realizadas por equipes internas ou terceirizadas especializadas.
Monitoramento de alertas de segurança, publicações de fabricantes e bases de dados de vulnerabilidades conhecidas (ex: CVE).
Todos os códigos desenvolvidos internamente pela equipe da GoLedger passam por análises periódicas de segurança, com o objetivo de identificar falhas de implementação, dependências inseguras e práticas de codificação inadequadas.
Essas análises incluem:
Ferramentas de análise estática de código-fonte automatizadas integradas ao pipeline de desenvolvimento;
Revisões manuais de código, especialmente para componentes críticos ou que tratem dados sensíveis;
Avaliação de bibliotecas e pacotes de terceiros, para garantir que não contenham vulnerabilidades conhecidas.
O processo de análise deve estar integrado ao fluxo de CI/CD e seguir as diretrizes e desenvolvimentos seguros da empresa, mitigando riscos por meio de práticas validadas e recomendações definidas nesta e em outras políticas.
A GoLedger realiza testes de invasão (Pentest) com o objetivo de identificar vulnerabilidades exploráveis em seu ambiente de TI.
Os testes são conduzidos por profissionais especializados com qualidade técnica na avaliação.
As aplicações em produção devem ocorrer cronogramadas e segregadas do ambiente, sempre que forem realizadas mudanças significativas na infraestrutura ou aplicações que impactem a superfície de ataque da empresa.
As vulnerabilidades detectadas serão classificadas com base em seu nível de risco (baixo, médio, alto ou crítico), considerando:
Impacto potencial no negócio;
Facilidade de exploração;
Existência de exploits conhecidos;
Exposição do ativo (internet, rede interna, etc.).
Após o descobrimento de incidentes ou falhas de sistemas (tais como a presença de códigos maliciosos, ataques hacker ou uso não autorizado ou inadequado de sistemas corporativos):
A resposta a incidentes seguirá procedimentos definidos e contará com o envolvimento da equipe técnica e das áreas impactadas, garantindo a mitigação de riscos e a preservação dos ativos da empresa.
Vulnerabilidades críticas devem ser remediadas imediatamente, ou conforme plano de ação aprovado pela área de segurança da informação.
Correções podem envolver:
Aplicação de patches de segurança;
Reconfiguração de sistemas;
Atualização de software ou firmware;
Isolamento ou substituição de ativos vulneráveis.
Todas as vulnerabilidades identificadas, ações corretivas aplicadas e prazos serão documentados e arquivados para fins de auditoria e melhoria contínua.
Após a implementação de correções, devem ser realizados novos testes ou scans para garantir que a vulnerabilidade foi resolvida com sucesso.
A área de Tecnologia da Informação é responsável por coordenar os scans, análises e testes periódicos.
Equipes de desenvolvimento devem realizar revisões de segurança em código e infraestrutura como parte do desenvolvimento seguro.
A GoLedger estabelece como obrigatórios os controles de segurança voltados à proteção do acesso digital e seus sistemas, redes, aplicações e dados, por meio da utilização de tecnologias especializadas.
A empresa implementa e mantém firewalls de perímetro e internos para filtrar e controlar o tráfego de rede, com regras definidas de acordo com as necessidades operacionais e de segurança.
As regras de firewall são revisadas periodicamente para garantir alinhamento com as políticas de acesso e prevenção de riscos.
O armazenamento de dados em servidores e estações de trabalho será realizado sempre que possível com utilização de criptografia nos discos dos dispositivos.
Sempre que aplicável, são utilizadas soluções de Data Loss Prevention (DLP) para prevenir a exposição, vazamento ou transmissão indevida de informações confidenciais, tanto em repouso quanto em trânsito.
As políticas de DLP devem cobrir o uso de e-mails, armazenamento em nuvem, dispositivos removíveis e outras formas de compartilhamento de dados.
Sempre que aplicável, aplicações críticas expostas à internet serão protegidas com Web Application Firewall (WAF), capaz de identificar e bloquear tentativas de exploração de vulnerabilidades comuns, como injeções SQL, XSS e outras ameaças digitais.
Quando aplicável, sistemas da GoLedger serão monitorados por sistemas de Detecção de Intrusão (IDS) e Endpoint Detection and Response (EDR) com alertas em tempo real sobre comportamentos maliciosos e possíveis tentativas de invasão.
As configurações desses IDS e EDR serão monitoradas regularmente, e ações corretivas devem ser tomadas conforme os níveis de criticidade detectados.
Todos os sistemas operacionais, softwares, aplicações e dispositivos utilizados pela GoLedger são atualizados com os patches de segurança mais recentes, conforme critérios de homologação definidos pelos fabricantes.
As atualizações devem ser aplicadas de forma controlada, respeitando:
Políticas de testes e validação prévia em ambiente de homologação;
Avaliação do impacto no ambiente produtivo;
Prazos definidos com base na criticidade da vulnerabilidade corrigida.
A não aplicação de um patch por justificativa técnica ou operacional deve ser formalmente documentada, sendo definidas medidas compensatórias quando necessário.
É obrigatória a instalação de software de proteção contra malwares (antivírus/antimalware) em todas as estações de trabalho (workstations) e servidores da empresa.
Esses softwares devem ser atualizados automaticamente e continuamente, a garantir a proteção contra ameaças recentes e conhecidas.
A proteção deve incluir, sempre que possível, mecanismos de detecção em tempo real, análise comportamental e bloqueio de arquivos suspeitos.
Sempre que possível, os controles descritos devem ser integrados com soluções de monitoramento centralizado, permitindo correlação de eventos, geração de alertas e respostas em tempo hábil.
Os alertas e logs relevantes frequentemente, assim como os seus contextos, deverão ser revisados, sendo gerado documento com a formalização das alterações dos acessos.
A GoLedger estabelece um processo formal de Gestão de Mudanças para garantir que qualquer alteração em sistemas, infraestrutura, serviços, aplicações ou componentes relacionados à segurança da informação ocorra de forma controlada, segura e com o mínimo de impacto aos processos de negócio.
Antes de qualquer mudança, deve ser realizada uma análise de riscos, avaliando impactos na segurança, disponibilidade, integridade e confidencialidade das informações e sistemas afetados.
Todas as mudanças devem ser documentadas e submetidas à aprovação prévia por um comitê ou responsável designado, incluindo escopo, responsáveis, cronograma, plano de comunicação e plano de retorno (rollback).
As partes interessadas devem ser informadas previamente sobre a mudança, incluindo áreas técnicas, usuários impactados e stakeholders, com informações claras sobre eventuais indisponibilidades ou alterações operacionais.
As mudanças devem ser realizadas de forma segura e controlada, preferencialmente fora do horário de pico, com monitoramento ativo durante e após a implementação.
Devem ser realizados testes prévios em ambiente de homologação sempre que possível, bem como validações pós-implementação para garantir que a mudança foi eficaz e segura.
Após a implementação, toda a documentação técnica, procedimentos operacionais e controles de segurança afetados devem ser atualizados para refletir a nova realidade do ambiente.
Esta política se aplica a todos os colaboradores da GoLedger, incluindo empregados, estagiários, terceiros e prestadores de serviço que tenham acesso a dados pessoais ou sensíveis tratados ou relevantes nas operações da empresa.
Esta política será revisada anualmente ou sempre que houver alterações legislativas, tecnológicas ou organizacionais relevantes.
GoLedger Tecnologia e Participações LTDA
Versão: 1.3
Aprovada em: 15/04/2025
Revisada em: 01/07/2025
Revisão prevista para: 15/10/2025
