Segurança da Informação

Última atualização: 16 de fevereiro de 2026

Vigência: 16 de fevereiro de 2026

Read in English

1. Compromisso com a Segurança

A RICARDO ***** - ME, operadora da plataforma NUDINN, reconhece que a segurança das informações financeiras e dados pessoais dos usuários é de importância crítica.

Este documento descreve as medidas técnicas, organizacionais e procedimentais que implementamos para proteger seus dados contra acessos não autorizados, perdas, alterações, divulgações indevidas ou destruição acidental.

Nossa abordagem de segurança baseia-se nos princípios de Confidencialidade, Integridade e Disponibilidade (CIA Triad), em conformidade com as melhores práticas internacionais e requisitos da Lei Geral de Proteção de Dados (LGPD).

2. Criptografia e Proteção de Dados

2.1. Criptografia em Trânsito

Todos os dados transmitidos entre seu dispositivo e nossos servidores são protegidos por criptografia SSL/TLS (Transport Layer Security) de no mínimo 256 bits:

  • Protocolo HTTPS: Todo acesso à plataforma web utiliza HTTPS exclusivamente
  • Certificados SSL: Certificados digitais renovados regularmente e emitidos por Autoridades Certificadoras reconhecidas
  • TLS 1.3: Utilizamos a versão mais recente do protocolo TLS para máxima segurança
  • Perfect Forward Secrecy (PFS): Garante que chaves de sessão comprometidas não afetam sessões anteriores ou futuras
  • HTTP Strict Transport Security (HSTS): Força uso de HTTPS impedindo downgrade attacks

2.2. Criptografia em Repouso

Dados armazenados em nossos bancos de dados e sistemas de backup são protegidos por criptografia AES-256 (Advanced Encryption Standard):

  • Dados Financeiros Sensíveis: Saldos, transações e informações bancárias criptografados com chaves únicas por usuário
  • Senhas: Nunca armazenadas em texto plano, utilizamos hashing forte (bcrypt) com salt individual e múltiplas iterações
  • Tokens e Credenciais: Criptografados e com tempo de validade limitado
  • Backups: Todos os backups são criptografados antes do armazenamento

2.3. Gerenciamento de Chaves Criptográficas

  • Chaves de criptografia armazenadas em HSM (Hardware Security Module) ou serviços de gerenciamento de chaves (KMS) de provedores certificados
  • Rotação periódica de chaves conforme políticas de segurança
  • Acesso a chaves restrito através de controles multi-camada
  • Segregação de chaves por ambiente (desenvolvimento, homologação, produção)

3. Controle de Acesso e Autenticação

3.1. Autenticação de Usuários

  • Senhas Fortes: Requisitos mínimos de complexidade (mínimo 8 caracteres, combinação de letras, números e símbolos)
  • Autenticação Multifator (MFA): Disponível e recomendado para todos os usuários (códigos via SMS, e-mail ou apps autenticadores)
  • Tokens de Sessão: Tokens JWT (JSON Web Tokens) com expiração curta e renovação automática segura
  • Bloqueio de Tentativas: Bloqueio temporário após múltiplas tentativas de login falhadas (proteção contra brute force)
  • Logout Automático: Sessões expiram automaticamente após período de inatividade

3.2. Controle de Acesso Interno

Sistemas robustos limitam acesso aos dados pelos colaboradores da NUDINN:

  • Princípio do Menor Privilégio: Colaboradores têm acesso apenas aos dados estritamente necessários para suas funções
  • Segregação de Funções: Separação entre ambientes de desenvolvimento e produção
  • Autenticação Multifator Obrigatória: Para todos os acessos administrativos
  • Logs de Auditoria: Todos os acessos a dados sensíveis são registrados e monitorados
  • Revisão Periódica: Permissões revisadas trimestralmente e revogadas automaticamente quando não mais necessárias
  • Acordo de Confidencialidade (NDA): Todos os colaboradores com acesso a dados assinam termos de confidencialidade

4. Infraestrutura e Segurança de Rede

4.1. Hospedagem e Data Centers

Utilizamos provedores de cloud computing líderes de mercado com certificações internacionais de segurança:

  • Provedores: AWS (Amazon Web Services) e/ou Google Cloud Platform
  • Certificações: ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II, PCI DSS
  • Data Centers: Localizados no Brasil e regiões com alta disponibilidade
  • Redundância: Infraestrutura distribuída em múltiplas zonas de disponibilidade
  • Segurança Física: Data centers com controle biométrico, vigilância 24/7, proteção contra incêndios e desastres naturais

4.2. Segurança de Rede

  • Firewall de Aplicação Web (WAF): Cloudflare WAF protege contra ataques comuns (SQL Injection, XSS, CSRF, DDoS)
  • Proteção DDoS: Mitigação automática de ataques de negação de serviço
  • Segmentação de Redes: Isolamento entre servidores de aplicação, banco de dados e serviços internos
  • VPN e Conexões Seguras: Acesso administrativo exclusivamente via VPN
  • Monitoramento de Tráfego: Análise contínua de padrões anormais de tráfego

4.3. Segurança de Aplicação

  • Code Review: Revisão de código por pares antes de deployment
  • Testes de Segurança: Testes automatizados (SAST - Static Application Security Testing) e manuais
  • Proteção contra OWASP Top 10: Mitigação de todas as vulnerabilidades mais críticas mapeadas pela OWASP
  • Rate Limiting: Limites de requisições por IP para prevenir abusos
  • Validação de Inputs: Sanitização rigorosa de todos os dados inseridos pelos usuários
  • Content Security Policy (CSP): Headers de segurança para prevenir XSS e injeção de código

5. Backup e Recuperação de Desastres

5.1. Política de Backup

  • Frequência: Backups automáticos diários do banco de dados completo
  • Backup Incremental: Backups incrementais a cada 6 horas para minimizar perda de dados
  • Retenção:
    • Backups diários: mantidos por 30 dias
    • Backups semanais: mantidos por 3 meses
    • Backups mensais: mantidos por 1 ano
  • Armazenamento Geograficamente Distribuído: Réplicas em diferentes regiões para proteção contra desastres
  • Criptografia: Todos os backups criptografados AES-256
  • Testes de Restauração: Testes mensais para validar integridade dos backups

5.2. Plano de Continuidade de Negócios (BCP)

Mantemos um Plano de Continuidade de Negócios e Recuperação de Desastres (BCP/DR) documentado e testado regularmente:

  • RTO (Recovery Time Objective): Tempo máximo de 4 horas para restauração completa
  • RPO (Recovery Point Objective): Perda máxima de dados de até 1 hora
  • Equipe de Resposta: Time dedicado treinado para cenários de emergência
  • Simulações: Exercícios de disaster recovery semestrais

6. Monitoramento e Detecção de Ameaças

6.1. Monitoramento Contínuo 24/7

  • SIEM (Security Information and Event Management): Correlação de eventos de segurança em tempo real
  • Logs Centralizados: Registros de todas as atividades críticas (acesso, autenticação, alterações, erros)
  • Alertas Automáticos: Notificações imediatas sobre atividades suspeitas ou anormais
  • Monitoramento de Integridade: Detecção de alterações não autorizadas em arquivos de sistema
  • Análise de Comportamento: Machine Learning para identificar padrões anômalos

6.2. Detecção e Prevenção de Intrusão

  • IDS/IPS (Intrusion Detection/Prevention System): Sistemas que detectam e bloqueiam tentativas de intrusão
  • Honeypots: Sistemas isca para atrair e estudar atacantes
  • Threat Intelligence: Integração com feeds de inteligência de ameaças globais
  • Vulnerability Scanning: Varreduras semanais automatizadas de vulnerabilidades

7. Testes de Segurança e Auditorias

7.1. Testes de Penetração (Pentests)

  • Frequência: Pentests externos realizados semestralmente por empresas especializadas independentes
  • Escopo: Aplicações web, APIs, aplicativos móveis, infraestrutura de rede
  • Remediação: Vulnerabilidades críticas corrigidas em até 48 horas; altas em até 7 dias

7.2. Auditorias de Segurança

  • Auditorias Internas: Revisão trimestral de controles de segurança e conformidade
  • Auditorias Externas: Avaliação anual por auditores independentes
  • Code Audits: Revisão especializada de código-fonte crítico

7.3. Bug Bounty Program

Estamos desenvolvendo um programa de recompensas por vulnerabilidades (Bug Bounty) para incentivar pesquisadores de segurança a reportar falhas de forma responsável.

8. Resposta a Incidentes

8.1. Plano de Resposta a Incidentes (IRP)

Mantemos um processo estruturado de resposta a incidentes de segurança:

  1. Detecção e Identificação: Monitoramento contínuo identifica incidentes em tempo real
  2. Contenção: Isolamento imediato de sistemas afetados para prevenir propagação
  3. Erradicação: Remoção completa da ameaça e fechamento de vulnerabilidades
  4. Recuperação: Restauração segura dos serviços e validação de integridade
  5. Análise Post-Mortem: Investigação detalhada de causa raiz e lições aprendidas
  6. Comunicação: Notificação a usuários afetados e autoridades conforme LGPD

8.2. Comunicação de Incidentes

Em conformidade com a LGPD (Art. 48), em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados:

  • Comunicação à ANPD: Em prazo razoável (geralmente 72 horas)
  • Notificação aos Usuários Afetados: Informação clara sobre natureza do incidente, dados afetados e medidas tomadas
  • Transparência: Atualizações públicas quando apropriado

8.3. Canal de Reporte

Se você identificar uma vulnerabilidade de segurança ou comportamento suspeito:

E-mail de Segurança: security@nudinn.com

Tempo de Resposta: Até 24 horas em dias úteis

Solicitamos divulgação responsável: por favor, não divulgue publicamente vulnerabilidades antes de darmos oportunidade de corrigi-las.

9. Treinamento e Conscientização

9.1. Capacitação da Equipe

  • Onboarding de Segurança: Todos os novos colaboradores recebem treinamento obrigatório sobre segurança e privacidade
  • Treinamentos Periódicos: Atualizações anuais sobre melhores práticas, novas ameaças e conformidade com LGPD
  • Simulações de Phishing: Testes periódicos para avaliar e melhorar consciência da equipe
  • Cultura de Segurança: Incentivo a reportar incidentes sem medo de retaliação (blameless culture)

9.2. Conscientização dos Usuários

Produzimos conteúdo educativo para ajudar usuários a protegerem suas contas:

  • Guias sobre criação de senhas fortes
  • Como identificar tentativas de phishing
  • Importância da autenticação multifator
  • Boas práticas de segurança em dispositivos móveis

10. Segurança de Terceiros

10.1. Due Diligence de Fornecedores

Todos os prestadores de serviço que processam dados em nosso nome são rigorosamente avaliados:

  • Avaliação de Segurança: Questionários detalhados (Security Questionnaires) antes da contratação
  • Certificações Exigidas: ISO 27001, SOC 2 Type II ou equivalentes
  • Cláusulas Contratuais: Acordos de processamento de dados (DPA - Data Processing Agreement) com obrigações claras
  • Monitoramento Contínuo: Reavaliação anual de fornecedores críticos
  • Direito de Auditoria: Reservamos o direito de auditar práticas de segurança de prestadores

10.2. Integrações e APIs

  • APIs Seguras: OAuth 2.0 para autenticação de integrações
  • Rate Limiting: Limites de requisições por API key
  • Logs de API: Registro de todas as chamadas de API para auditoria
  • Revisão de Integrações: Aprovação prévia e revisão de segurança para novas integrações

11. Segurança em Aplicativos Móveis

  • Armazenamento Local Seguro: Uso de Keychain (iOS) e Keystore (Android) para credenciais
  • Ofuscação de Código: Proteção contra engenharia reversa
  • Certificate Pinning: Validação de certificados SSL para prevenir man-in-the-middle
  • Biometria Local: Autenticação biométrica (impressão digital, Face ID) quando disponível
  • Detecção de Jailbreak/Root: Alertas sobre dispositivos comprometidos
  • Limpeza de Memória: Dados sensíveis apagados da memória após uso

12. Conformidade e Certificações

Comprometemo-nos com as melhores práticas e conformidade regulatória:

  • LGPD (Lei 13.709/2018): Conformidade total com Lei Geral de Proteção de Dados
  • Marco Civil da Internet (Lei 12.965/2014): Cumprimento de obrigações sobre registros e privacidade
  • ISO 27001 (em processo): Implementação de SGSI (Sistema de Gestão de Segurança da Informação)
  • OWASP: Alinhamento com padrões de segurança OWASP Top 10 e ASVS
  • PCI DSS Compliance: Conformidade através de gateway de pagamento certificado (Stripe)

13. Responsabilidade Compartilhada

Embora adotemos medidas robustas, a segurança é uma responsabilidade compartilhada. Recomendamos que os usuários:

  • Utilizem senhas fortes e únicas para suas contas
  • Habilitem autenticação multifator (MFA)
  • Mantenham sistemas operacionais e aplicativos atualizados
  • Não compartilhem credenciais com terceiros
  • Utilizem redes Wi-Fi seguras (evitem redes públicas para transações financeiras)
  • Desconfiem de e-mails ou mensagens suspeitas solicitando dados pessoais (phishing)
  • Façam logout ao usar dispositivos compartilhados
  • Reportem imediatamente atividades suspeitas

14. Melhoria Contínua

A segurança não é um estado final, mas um processo contínuo. Estamos comprometidos com:

  • Monitoramento de Tendências: Acompanhamento constante de novas ameaças e vulnerabilidades
  • Atualizações Regulares: Patches de segurança aplicados proativamente
  • Evolução de Controles: Implementação de novos controles conforme evolução tecnológica
  • Feedback de Usuários: Incorporação de sugestões da comunidade
  • Benchmarking: Comparação com padrões da indústria e melhores práticas

15. Contato - Equipe de Segurança

RICARDO ***** - ME

CNPJ: 16.***.***/0001-80

Segurança: security@nudinn.com

Privacidade/LGPD: privacidade@nudinn.com

Report de Vulnerabilidades: security@nudinn.com

Nossa equipe de segurança monitora esses canais 24/7 e responde a incidentes críticos imediatamente.

A segurança de seus dados é nossa prioridade máxima. Este documento será atualizado periodicamente conforme evoluímos nossas práticas de segurança.

Última revisão: 16 de fevereiro de 2026