Política de Segurança da Informação

Março de 2026 — Versão 1.0

Controle do Documento

1. Objetivo

Esta Política de Segurança da Informação ("Política") estabelece os controles de segurança, padrões e procedimentos que regem todos os ativos de informação, sistemas e infraestrutura da DECADE WEALTH MANAGEMENT LTDA. Seu objetivo é proteger a confidencialidade, integridade e disponibilidade dos dados processados pelas entidades da empresa, em conformidade com os requisitos regulatórios brasileiros e internacionais aplicáveis.

2. Gestão de Identidade e Acesso

2.1 Framework de Autenticação

Toda a autenticação de usuários nos sistemas da DECADE WEALTH MANAGEMENT LTDA é centralizada por meio do Okta como provedor de identidade único (IdP). A autenticação multifator (MFA) é obrigatória para todas as contas de usuário sem exceção.

• Single Sign-On (SSO) via Okta é imposto para todos os sistemas corporativos e de produção, eliminando credenciais locais e reduzindo a superfície de ataque associada à reutilização de senhas.
• OpenID Connect (OIDC) federação entre o Okta e todos os provedores de infraestrutura em nuvem (AWS), garantindo que nenhuma credencial estática de longa duração seja armazenada ou trocada para acesso à infraestrutura.
• FAPI 2.0 (Financial-grade API Security Profile) em conformidade com todos os fluxos de autenticação voltados ao cliente, incorporando Pushed Authorization Requests (PAR), prova de posse e tokens vinculados ao remetente.
• Demonstration of Proof-of-Possession (DPoP) como camada adicional de vinculação em todos os tokens de acesso dos clientes, prevenindo ataques de replay e interceptação de tokens.

2.2 Controle de Acesso à Infraestrutura

O acesso aos recursos de infraestrutura em nuvem é governado exclusivamente por meio de AWS IAM Roles, sem chaves de acesso estáticas permitidas em qualquer ambiente. Todas as assunções de roles são intermediadas por federação OIDC com o Okta, garantindo que cada evento de acesso seja autenticado, com tempo limitado e auditável. O acesso ao banco de dados é restrito a roles autenticadas via IAM, sem senhas compartilhadas ou de contas de serviço.

2.3 Acesso Privilegiado e Princípio do Menor Privilégio

A DECADE WEALTH MANAGEMENT LTDA aplica o princípio do menor privilégio em todos os sistemas. As concessões de acesso são revisadas trimestralmente e requerem aprovação gerencial. Ações privilegiadas em sistemas de produção exigem justificativa explícita e são registradas para fins de auditoria.

3. Segurança de Rede

3.1 Arquitetura de Rede em Nuvem

Todas as cargas de trabalho de produção operam dentro de sub-redes privadas na AWS, sem exposição direta à internet. A segmentação de rede é imposta por meio dos AWS Security Groups, que atuam como firewalls stateful controlando o tráfego de entrada e saída no nível da instância. As regras dos Security Groups seguem uma postura de negação por padrão: apenas o tráfego explicitamente autorizado é permitido.

3.2 Acesso Remoto Seguro

A conectividade entre a rede do escritório corporativo e os serviços em nuvem é estabelecida por meio de uma VPN site-to-site criptografada, autenticada com certificados digitais. Colaboradores remotos acessam recursos internos exclusivamente por este túnel VPN, garantindo que nenhum serviço de produção seja exposto à internet pública.

3.3 Rede Física do Escritório

A infraestrutura de rede corporativa é gerenciada por equipamentos UniFi com os seguintes controles:

• Autenticação RADIUS é aplicada diretamente nos roteadores UniFi, garantindo que apenas dispositivos e usuários autorizados possam se conectar à rede corporativa.
• Segmentação por VLAN separa o tráfego de rede por função (ex.: estações de trabalho corporativas, rede de visitantes, dispositivos IoT, plano de gerenciamento), prevenindo movimentação lateral entre segmentos.
• Regras de firewall UniFi impõem controle de acesso inter-VLAN, restringindo o tráfego ao mínimo necessário para os requisitos operacionais de cada segmento.
• Todos os pontos de acesso sem fio requerem autenticação de nível empresarial (WPA3-Enterprise com suporte RADIUS).

4. Proteção de Dados e Criptografia

4.1 Criptografia em Repouso

Todos os dados em repouso são criptografados na infraestrutura da DECADE WEALTH MANAGEMENT LTDA:

• Dispositivos endpoint: Todos os notebooks e estações de trabalho fornecidos pela empresa aplicam criptografia de disco completo (ex.: BitLocker no Windows, FileVault no macOS), garantindo que os dados permaneçam protegidos em caso de perda ou roubo do dispositivo.
• Bancos de dados: Todos os bancos de dados de produção aplicam criptografia em repouso utilizando AES-256 (ou equivalente), gerenciada por meio dos serviços de criptografia nativos do provedor de nuvem com chaves gerenciadas pelo cliente.
• Armazenamento de objetos e backups: Todos os dados armazenados no AWS S3, incluindo arquivos de backup, são criptografados em repouso utilizando criptografia no lado do servidor com chaves gerenciadas pelo cliente (SSE-KMS).

4.2 Criptografia em Trânsito

Todas as comunicações entre serviços, tanto internas quanto externas, são criptografadas em trânsito:

• Mutual TLS (mTLS) é aplicado para toda comunicação serviço-a-serviço na infraestrutura da DECADE WEALTH MANAGEMENT LTDA. Tanto o cliente quanto o servidor se autenticam mutuamente via certificados X.509, prevenindo ataques man-in-the-middle e impersonação não autorizada de serviços.
• Tokens de acesso de curta duração são utilizados para autorização entre serviços, minimizando o raio de impacto de qualquer comprometimento potencial de tokens. Os tokens são emitidos com tempo de vida mínimo e não são armazenados em cache além do período de validade.
• Todos os endpoints voltados ao exterior aplicam TLS 1.2 ou superior, com conjuntos de cifras fortes e certificate pinning quando aplicável.

5. Gestão de Segredos e Chaves

Todas as chaves criptográficas, certificados TLS, tokens de API, credenciais de banco de dados e outros segredos são gerenciados centralmente por meio do Infisical como plataforma designada de gestão de segredos. Os seguintes controles se aplicam:

• Nenhum segredo é armazenado em repositórios de código-fonte, arquivos de configuração, variáveis de ambiente em disco ou qualquer outro meio não criptografado.
• O acesso aos segredos é governado por controle de acesso baseado em funções (RBAC), com permissões limitadas ao mínimo necessário para cada serviço ou indivíduo.
• Os segredos são rotacionados em um cronograma regular definido por classificação, e a rotação é automatizada sempre que tecnicamente viável.
• Todo acesso aos segredos é registrado e auditável, com alertas configurados para padrões de acesso anômalos.
• A gestão do ciclo de vida dos certificados (emissão, renovação, revogação) é coordenada por meio do Infisical para prevenir interrupções de serviço devido a certificados expirados.

6. Backup e Recuperação de Desastres

6.1 Estratégia de Backup

A DECADE WEALTH MANAGEMENT LTDA mantém um regime abrangente de backup projetado para resiliência contra perda de dados, ransomware e falhas regionais de infraestrutura:

• Backups automatizados diários de todos os bancos de dados de produção e armazenamentos críticos de dados são realizados.
• Os backups são armazenados no AWS S3 em uma conta AWS separada do ambiente de produção, garantindo que um comprometimento da conta de produção não conceda acesso aos dados de backup.
• A conta de backup reside em uma região AWS diferente (jurisdição) da conta de produção, proporcionando redundância geográfica e proteção contra interrupções regionais.
• A integridade dos backups é verificada por meio de checksums automatizados, e testes periódicos de restauração são realizados para validar a recuperabilidade.

6.2 Objetivos de Recuperação

Os alvos de Objetivo de Ponto de Recuperação (RPO) e Objetivo de Tempo de Recuperação (RTO) são definidos por nível de classificação de dados e revisados anualmente. Os procedimentos de recuperação de desastres são documentados, testados pelo menos uma vez ao ano e atualizados após cada ciclo de teste.

7. Ciclo de Vida de Desenvolvimento Seguro de Software

7.1 Integridade de Código e Gestão de Mudanças

A DECADE WEALTH MANAGEMENT LTDA impõe controles rigorosos sobre todas as alterações em bases de código de produção:

• Commits assinados com GPG: Toda modificação de código deve ser assinada criptograficamente com uma chave GPG verificada associada ao autor. Commits não assinados ou não verificados são rejeitados no nível do repositório.
• Requisito de dupla aprovação: Todas as alterações em serviços de produção requerem revisão e aprovação explícita de pelo menos dois revisores autorizados antes do merge. Nenhum indivíduo pode unilateralmente implantar código em produção.
• Regras de proteção de branch são aplicadas no nível do repositório, prevenindo force pushes, commits diretos em branches protegidas e merges sem aprovação nas verificações de CI/CD.

7.2 Segurança do Pipeline CI/CD

Pipelines automatizados aplicam análise estática, varredura de vulnerabilidades de dependências e testes de integração antes da implantação. Credenciais de implantação são injetadas em tempo de execução a partir do Infisical e nunca são armazenadas em arquivos de configuração do pipeline.

8. Segurança de Endpoint

Todos os endpoints fornecidos pela empresa (notebooks, estações de trabalho) estão sujeitos aos seguintes requisitos:

• Criptografia de disco completo habilitada e verificada no momento da inscrição.
• Patches de sistema operacional e software aplicados dentro dos prazos de SLA definidos.
• Agentes de detecção e resposta de endpoint (EDR) instalados e reportando a um console central.
• Privilégios de administrador local restritos apenas ao pessoal de TI autorizado.
• Bloqueio automático de tela após um período definido de inatividade.
• Capacidade de limpeza remota para dispositivos perdidos ou roubados.

9. Registro, Monitoramento e Resposta a Incidentes

9.1 Registro e Trilha de Auditoria

Todos os eventos de autenticação, decisões de controle de acesso, ações privilegiadas e alterações nas configurações de segurança são registrados em uma plataforma de registro centralizada e resistente a adulterações. Os registros são retidos por um período mínimo consistente com os requisitos regulatórios aplicáveis (a Res. BCB 4893 determina um mínimo de 5 anos para registros relacionados à cibersegurança).

9.2 Monitoramento e Alertas

O monitoramento automatizado é configurado para detectar atividades anômalas, incluindo, mas não se limitando a: padrões incomuns de autenticação, tentativas de acesso não autorizado, escalação de privilégios e indicadores de exfiltração de dados. Os alertas são encaminhados à equipe de operações de segurança para triagem e resposta.

9.3 Resposta a Incidentes

A DECADE WEALTH MANAGEMENT LTDA mantém um Plano de Resposta a Incidentes documentado, revisado anualmente, abrangendo identificação, contenção, erradicação, recuperação e revisão pós-incidente. Incidentes de segurança relevantes são reportados às autoridades reguladoras competentes (CVM, BCB, ANPD) dentro dos prazos prescritos pela regulamentação aplicável.

10. Segurança de Terceiros e Fornecedores

Todos os prestadores de serviços terceirizados com acesso a dados ou sistemas da DECADE WEALTH MANAGEMENT LTDA são submetidos a due diligence de segurança antes da contratação. Os contratos com fornecedores incluem obrigações de proteção de dados, requisitos de notificação de violações e direito de auditoria. A conformidade contínua dos fornecedores é revisada pelo menos anualmente.

11. Alinhamento Regulatório

Esta Política foi elaborada para atender aos requisitos de, entre outros:

• BCB Resolução 4893/2021 — Requisitos de política de cibersegurança para instituições autorizadas pelo Banco Central do Brasil.
• CVM Resolução 175 — Requisitos operacionais e de conformidade para entidades reguladas de valores mobiliários.
• LGPD (Lei 13.709/2018) — Obrigações de proteção de dados e privacidade, incluindo medidas de segurança técnicas e organizacionais.
• Código de Autorregulação ANBIMA — Melhores práticas para gestão e distribuição de ativos, incluindo controles de segurança da informação.
• ISO/IEC 27001 — Referenciada como framework orientador para gestão de segurança da informação, embora a certificação formal ainda não tenha sido buscada.

12. Governança da Política

12.1 Papéis e Responsabilidades

O Diretor de Compliance & Tecnologia é o responsável designado por esta Política e é responsável por sua manutenção, aplicação e revisão periódica. Todos os colaboradores são responsáveis por cumprir esta Política e reportar prontamente incidentes de segurança suspeitos.

12.2 Revisão e Alteração

Esta Política é revisada pelo menos anualmente, ou sempre que ocorra uma mudança relevante no cenário de ameaças, no ambiente regulatório ou na infraestrutura tecnológica da empresa. Alterações requerem aprovação do Conselho de Administração.

12.3 Exceções

Qualquer exceção a esta Política deve ser formalmente documentada, avaliada quanto ao risco, aprovada pelo responsável pela Política e sujeita a controles compensatórios. As exceções são revisadas trimestralmente e expiram após um máximo de 12 meses, salvo se renovadas.

13. Sanções

Violações desta Política podem resultar em ação disciplinar, incluindo rescisão de contrato de trabalho ou de prestação de serviços, e encaminhamento às autoridades legais competentes quando exigido por lei.

Anexo A — Resumo dos Controles de Segurança