Política de Transferência Segura de Informações

Beehome Sistemas Ltda.
Versão: 1.0
Última atualização: Outubro de 2025
Responsável pelo documento: Erik Ramalho – CEO

1. Objetivo

Estabelecer diretrizes, regras e controles para a transferência segura de informações, garantindo a confidencialidade, integridade, disponibilidade e rastreabilidade dos dados transmitidos entre a Behome Sistemas Ltda. (“Beehome”), seus colaboradores, clientes, fornecedores e parceiros.

Esta política visa atender ao controle A.5.14 da norma ISO/IEC 27001:2022, que requer que as organizações implementem mecanismos adequados para proteger informações durante sua transferência, independentemente do meio utilizado.

2. Escopo

Esta política aplica-se a todas as formas de transferência de informações realizadas pela Behome, incluindo:

• Dados transmitidos eletronicamente (e-mails, APIs, integrações SaaS, webhooks, S3, etc.);
• Transferências físicas (mídias removíveis, documentos impressos, backups externos);
• Intercâmbio de informações entre ambientes internos da Behome e terceiros autorizados;
• Processos automatizados de transferência entre sistemas internos (ex.: microserviços Behome-API, Redis, RDS, S3, Cognito).

Abrange todos os colaboradores, prestadores de serviço, parceiros e clientes que manipulam ou transferem informações da Behome.

3. Princípios de Segurança Aplicáveis

A Behome adota os seguintes princípios para toda transferência de informação:

1. Confidencialidade – A informação deve ser acessível apenas a pessoas autorizadas.
2. Integridade – Os dados não devem ser alterados, interceptados ou corrompidos durante a transferência.
3. Autenticidade – As partes envolvidas devem ser devidamente identificadas e autenticadas.
4. Rastreabilidade – Toda transferência deve gerar registros (logs) que permitam auditoria.
5. Disponibilidade – O processo de transferência deve ocorrer sem interrupções indevidas ou perda de dados.

4. Regras Gerais para Transferência de Informações

4.1. Canais e Protocolos Aprovados

• Todas as transferências eletrônicas devem ocorrer somente por canais seguros, utilizando criptografia de transporte (TLS 1.2 ou superior).
• O uso de HTTP sem TLS, FTP, e-mails sem criptografia,ou mensageria pessoal (WhatsApp, Telegram, etc.) para envio de informações corporativas é proibido.
• Protocolos e serviços aprovados incluem:
HTTPS / TLS 1.2+ para APIs e aplicações web;
S3 com assinatura temporária e políticas de acesso restrito;
VPN para conexões administrativas;
SFTP/FTPS para transferências manuais autorizadas;
AWS KMS e Secrets Manager para proteção de chaves e credenciais.

4.2. Autenticação e Autorização

• Todas as integrações de sistemas externos devem utilizar tokens JWT assinados, credenciais de API ou autenticação baseada em OAuth2.
• Contas e usuários que realizam transferências devem possuir perfis e permissões minimamente necessárias (princípio do menor privilégio).
• A identidade das partes envolvidas deve ser validada antes de qualquer transmissão de informação.

4.3. Proteção contra Malware e Vazamentos

• Todos os arquivos recebidos e enviados são submetidos a verificação antivírus e antimalware automática.
• É vedado o envio de informações sensíveis (como dados de clientes, senhas, tokens, relatórios internos) por canais não criptografados.
• Informações classificadas como Confidenciais ou Restritas devem ser transmitidas somente mediante criptografia ponta a ponta (AES-256 ou superior).

4.4. Transferência para Terceiros

• Qualquer compartilhamento de informação com terceiros deve estar previsto em contrato, NDA ou Data Processing Agreement (DPA) que contemple cláusulas de segurança da informação.
• A Behome somente compartilha informações com fornecedores homologados, que atendem aos padrões mínimos de conformidade e segurança (ex.: AWS,  Vanta, etc.).
• Antes da transferência, o responsável deve avaliar a classificação da informação e confirmar o canal e o destinatário.

4.5. Transferências Internas

• Transferências internas entre ambientes (ex.: entre Lambdas, Redis e RDS) devem ocorrer dentro da VPC da Behome, com segurança de rede e IAM roles aplicadas.
• Logs de transferência entre sistemas são armazenados e monitorados no AWS CloudWatch e AWS CloudTrail, garantindo rastreabilidade.
• Nenhuma informação sensível deve ser copiada para dispositivos pessoais ou removíveis.

5. Classificação da Informação para Transferência

Pública: Canal permitido: HTTP/HTTPS – Criptografia obrigatória: Não – Exemplo: Conteúdos do site, comunicados públicos.
Interna: Canal permitido: HTTPS / VPN – Criptografia recomendada – Exemplo: Relatórios operacionais, logs internos.
Confidencial: Canal permitido: HTTPS / SFTP / VPN – Criptografia obrigatória – Exemplo: Dados de clientes, contratos, registros de usuários.
Restrita: Canal permitido: HTTPS / VPN dedicada / Criptografia E2E – Criptografia AES-256+ – Exemplo: Dados sensíveis, informações pessoais identificáveis (PII).

6. Registro e Monitoramento

• Todos os eventos de transferência de dados são registrados automaticamente em logs de auditoria.
• Logs são armazenados por no mínimo 12 meses e revisados periodicamente pela equipe técnica.
• A detecção de falhas, interceptações ou uso indevido durante transferências deve ser reportada imediatamente ao responsável de segurança da informação.

7. Responsabilidades

Diretoria Executiva (CEO): Aprovar esta política e garantir sua implementação.
Equipe Técnica / DevOps: Assegurar o uso de protocolos seguros e manter logs de auditoria.
Gestores de Produto / TI: Controlar acessos e monitorar integrações com terceiros.
Colaboradores e Fornecedores: Cumprir esta política e utilizar apenas canais autorizados para transferência de informações.
Responsável de Segurança da Informação (ISMS): Revisar periodicamente a eficácia dos controles e propor melhorias.

8. Treinamento e Conscientização

Todos os colaboradores e prestadores que manipulam informações da Behome devem participar de treinamentos periódicos de segurança da informação, incluindo boas práticas de comunicação segura e prevenção a vazamentos.

9. Penalidades e Conformidade

O descumprimento desta política pode resultar em medidas disciplinares internas, suspensão de acesso ou rescisão contratual, conforme a gravidade da infração.
Incidentes que envolvam dados pessoais seguirão o processo de notificação à ANPD e às partes afetadas, conforme exigido pela LGPD (Lei nº 13.709/2018).

10. Revisão e Atualização

Esta política será revisada anualmente ou sempre que houver mudanças significativas nas tecnologias, processos ou obrigações legais da Behome.

11. Contato

A Beehome designa o Sr. Hugo Ferreira da Silva Neto como seu Encarregado pelo Tratamento de Dados Pessoais, disponível pelo e‑mail dpo@beehome.company para receber comunicações dos titulares e da ANPD, nos termos do art. 41 da LGPD e da Resolução CD/ANPD nº 18/2024.

Conformidade com ISO/IEC 27001:2022

Controle A.5.14: Transferência de informações – Atendido integralmente.
Controle A.5.23: Gestão de fornecedores de serviços de informação – Atendido parcialmente.
Controle A.5.32: Propriedade intelectual – Complementar.
Controle A.8.28: Segurança de informações em trânsito – Atendido parcialmente por controles técnicos.