Política de Segurança da Informação

A presente Política de Segurança da Informação estabelece as diretrizes, procedimentos e controles implementados pelo TáPedido para proteger as informações pessoais e dados sensíveis de nossos usuários, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e as melhores práticas de segurança da informação.

1. Objetivo

Esta política tem como objetivo garantir a confidencialidade, integridade e disponibilidade das informações tratadas em nossa plataforma, protegendo os dados pessoais contra acesso não autorizado, alteração, destruição ou divulgação indevida.

2. Princípios de Segurança

2.1. Confidencialidade

Garantimos que as informações sejam acessíveis apenas por pessoas autorizadas e para finalidades legítimas.

2.2. Integridade

Mantemos a precisão e completude das informações, protegendo-as contra alterações não autorizadas.

2.3. Disponibilidade

Assegurarmos que os serviços e informações estejam disponíveis quando necessário, implementando medidas de redundância e continuidade.

2.4. Autenticidade

Verificamos a identidade dos usuários e a origem das informações para garantir sua autenticidade.

3. Medidas Técnicas de Segurança

3.1. Criptografia

• Criptografia de Dados em Trânsito: Utilizamos protocolos SSL/TLS para proteger todas as comunicações entre o navegador e nossos servidores.
• Criptografia de Dados em Repouso: Dados sensíveis são criptografados quando armazenados em nossos bancos de dados.
• Criptografia de Senhas: Todas as senhas são armazenadas usando algoritmos de hash seguros (bcrypt ou similar), tornando impossível a recuperação da senha original.

3.2. Controle de Acesso

• Autenticação obrigatória para acesso ao sistema
• Senhas fortes obrigatórias (mínimo de caracteres e complexidade)
• Controle de sessão com timeout automático após período de inatividade
• Princípio do menor privilégio: usuários têm acesso apenas ao necessário
• Logs de auditoria de todas as ações realizadas no sistema

3.3. Proteção de Infraestrutura

• Servidores protegidos por firewalls e sistemas de detecção de intrusão
• Atualizações regulares de segurança do sistema operacional e aplicações
• Monitoramento contínuo de vulnerabilidades
• Backups automáticos e regulares dos dados
• Plano de recuperação de desastres (DRP)

3.4. Proteção contra Ameaças

• Proteção contra malware e vírus
• Sistemas de prevenção e detecção de intrusão (IDS/IPS)
• Proteção contra ataques DDoS (Distributed Denial of Service)
• Validação e sanitização de todas as entradas de dados
• Proteção contra SQL Injection e Cross-Site Scripting (XSS)

4. Medidas Organizacionais de Segurança

4.1. Gestão de Acesso

• Política de senhas forte e obrigatória
• Revisão periódica de permissões de acesso
• Desativação imediata de acessos de funcionários desligados
• Treinamento regular de equipe sobre segurança da informação

4.2. Gestão de Incidentes

• Plano de resposta a incidentes de segurança
• Notificação imediata em caso de violação de dados
• Comunicação à ANPD e aos usuários afetados quando exigido pela LGPD
• Análise pós-incidente para prevenção futura

4.3. Auditoria e Monitoramento

• Logs detalhados de todas as operações críticas
• Monitoramento 24/7 de sistemas e infraestrutura
• Revisões periódicas de segurança
• Testes de penetração e avaliações de vulnerabilidade

5. Proteção de Dados Pessoais

5.1. Classificação de Dados

Classificamos os dados conforme seu nível de sensibilidade:

• Dados Públicos: Informações que podem ser divulgadas publicamente (ex: nome do estabelecimento, cardápio público)
• Dados Internos: Informações de uso interno (ex: configurações do sistema)
• Dados Confidenciais: Informações pessoais que requerem proteção especial (ex: e-mail, telefone, endereço)
• Dados Restritos: Informações altamente sensíveis (ex: senhas, dados de pagamento)

5.2. Tratamento de Dados Sensíveis

Dados sensíveis (conforme definido na LGPD) recebem tratamento especial e são protegidos com medidas de segurança adicionais, incluindo criptografia reforçada e controle de acesso mais restritivo.

6. Terceirização e Prestadores de Serviços

Quando utilizamos serviços de terceiros para processamento de dados, garantimos que:

• Os prestadores sigam padrões de segurança equivalentes aos nossos
• Acordos de confidencialidade sejam estabelecidos
• Auditorias periódicas sejam realizadas quando aplicável
• O compartilhamento seja limitado ao estritamente necessário
• Os prestadores estejam em conformidade com a LGPD

7. Continuidade de Negócios

7.1. Backup e Recuperação

• Backups automáticos diários de todos os dados críticos
• Backups armazenados em locais geograficamente distintos
• Testes regulares de restauração de backups
• Retenção de backups conforme política estabelecida

7.2. Disponibilidade do Serviço

• Infraestrutura com redundância para alta disponibilidade
• Monitoramento de uptime e performance
• Plano de contingência para interrupções
• Comunicação proativa sobre manutenções programadas

8. Responsabilidades do Usuário

Os usuários também têm responsabilidades na segurança de suas informações:

• Manter a confidencialidade de suas credenciais de acesso
• Utilizar senhas fortes e únicas
• Não compartilhar credenciais com terceiros
• Notificar imediatamente sobre uso não autorizado de sua conta
• Manter seus dados atualizados
• Fazer logout ao usar computadores compartilhados
• Proteger seus dispositivos com antivírus e atualizações de segurança

9. Notificação de Violações

Em caso de violação de segurança que possa resultar em risco ou dano relevante aos titulares dos dados, comprometemo-nos a:

• Notificar a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas
• Comunicar os titulares afetados de forma clara e objetiva
• Informar sobre a natureza da violação e medidas tomadas
• Orientar sobre ações que os titulares podem tomar
• Documentar o incidente e medidas corretivas implementadas

10. Conformidade e Certificações

Nosso compromisso com a segurança inclui:

• Conformidade com a LGPD (Lei nº 13.709/2018)
• Aderência às melhores práticas de segurança da informação
• Revisões periódicas de conformidade
• Melhoria contínua dos controles de segurança

11. Treinamento e Conscientização

Mantemos programas de treinamento e conscientização sobre segurança da informação para nossa equipe, incluindo:

• Treinamentos regulares sobre proteção de dados
• Orientações sobre identificação de ameaças
• Boas práticas de segurança no trabalho
• Atualizações sobre novas ameaças e vulnerabilidades

12. Revisão e Atualização

Esta Política de Segurança da Informação é revisada periodicamente e atualizada conforme necessário para refletir mudanças em nossa infraestrutura, processos ou na legislação aplicável.

Alterações significativas serão comunicadas aos usuários através de nossos canais de comunicação habituais.

13. Contato

Para questões relacionadas à segurança da informação ou para reportar vulnerabilidades de segurança, entre em contato:

• E-mail: tapedidooficial@gmail.com
• Telefone: (13) 99616-3820