1. Propósito
Definir como a RACUCCO classifica os dados que trata, para garantir o tratamento adequado a cada nível de sensibilidade — em especial nos quesitos armazenamento, criptografia, acesso e retenção.
2. Níveis de classificação
| Nível | Definição | Exemplos |
|---|---|---|
| Público | Pode ser publicado livremente. | Conteúdo do site institucional, anúncios públicos da loja, políticas publicadas. |
| Interno | Uso restrito à operação; sem dano direto se vazado, mas não compartilhado externamente. | Relatórios internos de venda, listagem de SKUs, controle de estoque. |
| Confidencial | Vazamento causa dano relevante; acesso restrito por necessidade. | Dados pessoais de clientes (nome, endereço, CPF), histórico de pedidos, mensagens de atendimento, relatórios financeiros. |
| Restrito | Acesso somente ao representante legal; vazamento compromete diretamente a operação. | Tokens de API (TikTok app_secret, Cloudflare API Token), certificado digital A1, senhas de contas administrativas. |
3. Controles por nível
- Público: sem restrições.
- Interno: armazenado em pastas locais com permissão de usuário, sem requisito de criptografia adicional.
- Confidencial: armazenado em sistemas com autenticação obrigatória, comunicação em HTTPS/TLS, logs de acesso retidos por 90 dias.
- Restrito: armazenado em arquivo dedicado (`.env`, vault) com permissão NTFS restrita; nunca impresso em log ou transmitido por canais não criptografados; rotação periódica obrigatória.
4. Criptografia
- Em trânsito: HTTPS/TLS 1.2+ obrigatório em qualquer comunicação com API externa ou painel administrativo.
- Em repouso: dados Restritos protegidos por controle de acesso no sistema operacional e, quando o disco oferecer, criptografia BitLocker.
- Backups que contenham dados Confidenciais ou Restritos são criptografados antes de sair do servidor de origem.
5. Retenção
- Dados Públicos e Internos: pelo tempo de relevância operacional.
- Dados Confidenciais (cliente): conforme Política de Privacidade — 90 dias após a venda + 5 anos para registros fiscais.
- Dados Restritos: enquanto válidos; rotação periódica.
6. Descarte
A eliminação de dados Confidenciais e Restritos é feita de forma irrecuperável (sobrescrita de arquivo, revogação de credencial). Mídias físicas descartadas (HDs, pendrives) que tenham contido dados Confidenciais ou Restritos passam por destruição lógica antes do descarte.
7. Revisão
Esta política é revisada anualmente, ou imediatamente quando houver mudança relevante no tipo de dado tratado pela Racucco.
RACUCCO · CNPJ 17.692.601/0001-05 · Santa Isabel — SP, Brasil ·
Documento publicado em 30/05/2026.