Política de Segurança da Informação
1. Introdução
Esta Política de Segurança da Informação estabelece os princípios e medidas técnicas e administrativas adotados pelo site Atelier Lu Seabra para proteger dados pessoais e informações do negócio, em conformidade com a LGPD e inspirada nas boas práticas de mercado, incluindo ISO 27001, OWASP e o NIST Cybersecurity Framework.
2. Definições
Confidencialidade: garantia de que a informação só é acessível a pessoas autorizadas.
Integridade: garantia de que a informação não é alterada de forma não autorizada.
Disponibilidade: garantia de que a informação está acessível quando necessário.
MFA (Multi-Factor Authentication): mecanismo de autenticação que exige mais de um fator de verificação de identidade.
3. Princípios de Segurança da Informação
A Loja pauta suas práticas de segurança pelos princípios de:
a) minimização de dados coletados e tratados;
b) privacidade desde a concepção (privacy by design) e por padrão (privacy by default);
c) menor privilégio de acesso (least privilege);
d) defesa em profundidade (múltiplas camadas de proteção);
e) melhoria contínua das medidas de segurança.
4. Segurança de Senhas e Autenticação
4.1. As senhas de acesso de Usuários são armazenadas exclusivamente na forma de hash criptográfico (nunca em texto plano), utilizando algoritmo robusto e atualizado.
4.2. Tentativas de login malsucedidas repetidas são monitoradas e limitadas (rate limiting), com bloqueio temporário após número excessivo de tentativas, como medida de proteção contra ataques de força bruta.
5. Autenticação Multifator (MFA) — Roadmap
5.1. A Loja reconhece a autenticação multifator como boa prática recomendada e planeja sua implementação futura para contas de Usuário e, prioritariamente, para acessos administrativos ao painel de gestão do Site.
6. Proteção de Dados de Pagamento
6.1. A Loja não coleta, processa ou armazena diretamente dados de cartão de crédito de seus Clientes. Todo o processamento de pagamentos é realizado pelo Mercado Pago, que mantém conformidade com o padrão internacional PCI DSS.
7. Segurança da Aplicação Web
7.1. No desenvolvimento e manutenção do Site, buscam-se mitigar, entre outros, os riscos listados no OWASP Top 10, incluindo:
a) falhas de controle de acesso;
b) falhas criptográficas;
c) injeção de código (incluindo SQL Injection);
d) configuração incorreta de segurança;
e) uso de componentes vulneráveis ou desatualizados;
f) falhas de identificação e autenticação;
g) falhas de registro e monitoramento de segurança.
8. Logs, Auditoria e Trilha de Auditoria
8.1. A Loja mantém registros (logs) de eventos relevantes de segurança e de acesso, incluindo tentativas de login, alterações de dados cadastrais e aceite de termos e políticas.
8.2. Os registros de acesso são mantidos por, no mínimo, 6 (seis) meses, nos termos do art. 15 do Marco Civil da Internet.
9. Backup e Continuidade
9.1. A Loja busca manter rotinas de backup dos dados armazenados em seus sistemas, com o objetivo de assegurar a continuidade do negócio e a recuperação de dados em caso de incidente, falha técnica ou desastre.
10. Proteção contra Bots e Engenharia Social
10.1. O Site adota, na medida de sua estrutura técnica, medidas de proteção contra bots e ataques automatizados, tais como limitação de taxa de requisições (rate limiting) e monitoramento de padrões anômalos de tráfego.
10.2. A Loja orienta seus colaboradores e representantes a nunca solicitarem senhas, dados completos de cartão de crédito ou códigos de verificação de Clientes por telefone, e-mail ou WhatsApp.
11. Disposições Finais
11.1. Esta Política deve ser lida em conjunto com a Política de Privacidade e a Política Antifraude, sendo revisada periodicamente para acompanhar a evolução das ameaças e das boas práticas de segurança da informação.