A EvoStack reconhece a importância crítica da segurança cibernética no contexto do setor financeiro digital. Esta política define os princípios, controles e responsabilidades adotados para proteger nossos sistemas, dados e clientes contra ameaças cibernéticas, em conformidade com a Resolução CMN nº 4.893/2021, a Lei nº 13.709/2018 (LGPD), e os frameworks NIST CSF e ISO/IEC 27032.
1. Objetivo
Estabelecer diretrizes para identificar, prevenir, detectar, responder e recuperar incidentes cibernéticos que possam comprometer a confidencialidade, integridade e disponibilidade das informações e operações da EvoStack, seus parceiros e clientes.
2. Escopo
Esta política se aplica a toda a infraestrutura tecnológica da EvoStack, incluindo ambientes em nuvem, APIs, microsserviços, aplicações whitelabel, dados pessoais e operacionais, colaboradores, parceiros e fornecedores com acesso aos nossos ativos digitais.
3. Princípios
- Segurança desde a concepção (“security by design”)
- Resiliência operacional
- Detecção precoce de ameaças
- Resposta coordenada e rastreável
- Recuperação segura e validada
4. Medidas de Prevenção
- Firewall de aplicação web (WAF): protege contra ataques como SQL injection, XSS e brute force.
- Segregação de ambientes: produção, homologação e testes são isolados em diferentes redes virtuais (VPCs).
- Monitoramento contínuo: com análise comportamental, alertas em tempo real e dashboards via SIEM.
- Hardening de servidores: com desativação de portas, controle de root, logging e varreduras automáticas.
- Atualizações de segurança: aplicadas com base em ciclo semanal e patches críticos com SLA de até 24h.
5. Detecção de Incidentes Cibernéticos
A EvoStack utiliza ferramentas e serviços para detecção automática e manual de incidentes, incluindo:
- Sistemas de detecção de intrusão (IDS)
- Logs centralizados com correlação de eventos
- Análise de comportamento anômalo (UEBA)
- Integração com ferramentas de threat intelligence
6. Resposta a Incidentes
Seguimos um plano de resposta estruturado com base no NIST SP 800-61. As fases são:
- Identificação do incidente
- Notificação interna e avaliação de impacto
- Contenção e mitigação
- Erradicação da ameaça
- Recuperação e verificação de integridade
- Análise pós-incidente e documentação
7. Testes e Simulações
Realizamos periodicamente:
- Testes de invasão (pentest) com parceiros externos especializados
- Simulações de incidentes cibernéticos
- Auditorias internas de segurança e riscos tecnológicos
8. Educação e Conscientização
Todos os colaboradores e fornecedores são treinados regularmente sobre segurança cibernética, com foco em:
- Reconhecimento de tentativas de phishing
- Uso seguro de senhas e autenticação multifator
- Condutas seguras em ambientes digitais
9. Continuidade e Recuperação
A EvoStack mantém um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (DRP), que incluem:
- Backups em múltiplas regiões (AWS)
- Rotinas automáticas de restauração
- Ambientes de contingência prontos para ativação
10. Responsabilidades
- CTO e Time de Segurança: coordenam os planos, treinamentos e revisões da política.
- Colaboradores e Fornecedores: devem seguir esta política e comunicar qualquer anomalia identificada.
11. Atualizações
Esta política será revisada periodicamente ou sempre que houver alterações relevantes na legislação, nos sistemas da empresa ou em seu ambiente de risco cibernético.
12. Canal de Comunicação
Em caso de incidentes, dúvidas ou sugestões, entre em contato com nosso time de segurança:
E-mail: tecnologia@evostack.com.br
