1. Propósito
Estabelecer os princípios, papéis e controles de segurança da informação aplicáveis a toda a operação da RACUCCO (CNPJ 17.692.601/0001-05), considerando o porte da operação, sua natureza majoritariamente digital e a obrigatoriedade da LGPD (Lei nº 13.709/2018).
2. Escopo
Aplica-se a todos os ativos de informação utilizados pela Racucco — computadores, servidores, contas, dispositivos móveis, contas em plataformas (TikTok Shop, gateways de pagamento, Cloudflare, Google Workspace etc.) — e às pessoas com acesso a esses ativos.
3. Princípios
- Privilégio mínimo: cada usuário ou aplicação tem somente o acesso estritamente necessário.
- Defesa em camadas: controles redundantes (autenticação, criptografia, segregação de rede, logs) reduzem o impacto de falhas em uma camada isolada.
- Confidencialidade, integridade e disponibilidade como pilares na decisão de qualquer mudança técnica.
- Reversibilidade: operações sensíveis (chaves, tokens, certificados) devem poder ser rotacionadas sem disrupção.
4. Controles obrigatórios
4.1 Endpoints
- Sistema operacional com atualizações automáticas aplicadas
- Antivírus (Microsoft Defender) com proteção em tempo real ativa
- Bloqueio de tela automático após inatividade
- Senha de usuário Windows complexa (mínimo 12 caracteres)
- Criptografia de disco recomendada (BitLocker), quando aplicável
4.2 Identidade e acesso
- Autenticação multifator (2FA) obrigatória em todas as plataformas que oferecem o recurso (TikTok Seller Center: e-mail + Google Authenticator)
- Dispositivos confiáveis listados e revisados
- Senhas únicas por serviço, armazenadas em gerenciador de senhas
4.3 Comunicação
- Todas as chamadas a APIs externas usam HTTPS com validação de certificado (TLS 1.2 ou superior)
- Conexão administrativa (SSH, RDP) apenas via canal cifrado, com chave/2FA
- Webhooks recebidos têm assinatura HMAC verificada antes do processamento
4.4 Armazenamento de segredos
- Tokens de API, App Secret e certificados digitais ficam em arquivos com permissão NTFS restrita ao usuário do sistema
- Segredos nunca são impressos em log, transmitidos por chat, e-mail ou commitados em repositório
- Rotação periódica recomendada a cada 12 meses ou imediatamente em caso de suspeita de comprometimento
4.5 Segregação de rede
- Servidor de operação roda em rede LAN privada da empresa, atrás de NAT, sem porta inbound exposta diretamente
- Quando webhook precisar de URL pública, é exposto via túnel autenticado (Cloudflare Tunnel) com filtros de origem
4.6 Logs e monitoração
- Cada chamada de API (request/response, sem segredos) é registrada em arquivo local com rotação diária
- Retenção mínima de 90 dias
- Logs revisados periodicamente em busca de comportamento anômalo
5. Gestão de vulnerabilidades
- Patches críticos de sistema operacional aplicados em até 14 dias
- Dependências de software (bibliotecas Python, runtime Node) são revisadas a cada release; uso de versões fora de suporte é evitado
- Acompanhamento de boletins de segurança das plataformas críticas (TikTok Shop, Cloudflare, Google)
6. Continuidade
- Backups periódicos de arquivos críticos e do banco de dados local em mídia separada
- Procedimentos de recuperação documentados e testados pelo menos uma vez por semestre
7. Resposta a incidentes
Em caso de incidente de segurança real ou suspeito, segue-se a Política de Resposta a Incidentes, que prevê contenção imediata, rotação de credenciais, auditoria de logs e notificação às partes afetadas no prazo legal aplicável.
8. Responsabilidades
A responsabilidade final por todas as decisões de segurança é do representante legal da Racucco, Renan Ascanio Cucco, que acumula o papel de Encarregado pela Proteção de Dados (DPO).
9. Sanções
O descumprimento desta política, por parte de qualquer terceiro contratado pela Racucco, é causa para rescisão imediata do vínculo e, conforme o caso, responsabilização civil e/ou criminal.
10. Revisão
Esta política é revisada pelo menos anualmente, ou imediatamente após qualquer incidente relevante.