Segurança da Informação.
Sumário do Documento
Resumo Executivo
"O PRONAFACE adota protocolos de proteção de dados pautados na melhoria contínua, prevenção e resposta a incidentes, buscando alinhar boas práticas de segurança digital ao ecossistema Appmart."
Resumo rápido
O PRONAFACE protege dados por meio de boas práticas de segurança da informação como controle de acesso por funções, autenticação, senhas com hash, proteção contra bots, rate limiting, logs, backups, criptografia em trânsito, resposta a incidentes, desenvolvimento seguro, menor privilégio e canal de vulnerabilidades.
Nenhum sistema é invulnerável e a segurança depende de melhoria contínua e responsabilidade compartilhada.
1. Visão geral
Nossa postura de segurança visa mitigar riscos e proteger o fluxo de informações entre candidatos, beneficiários, parceiros e a infraestrutura central do programa.
A segurança cobre portal, formulários, área restrita, protocolos, logs, suporte, comunicações oficiais e fluxo de dados entre candidato, beneficiário, parceiro e infraestrutura.
“Nenhum sistema é absolutamente invulnerável. O PRONAFACE adota boas práticas proporcionais ao escopo do projeto e trabalha com melhoria contínua, prevenção, monitoramento e resposta a incidentes conforme aplicável.”
2. Segurança por padrão
Princípios de Security by Design e Privacy by Default regem cada nova funcionalidade adicionada ao portal e aos aplicativos gerados pelo motor Appmart.
Novas funcionalidades devem nascer com requisitos de segurança, privacidade, logs e o mínimo de dados necessários.
- Minimização de dados
- Validação de entrada
- Controle de acesso
- Logs e auditoria
3. Responsabilidade compartilhada
A segurança é uma via de mão dupla. O beneficiário é responsável por seus dispositivos e senhas, enquanto o PRONAFACE garante a segurança da infraestrutura de nuvem.
| Papel | Responsabilidade Principal |
|---|---|
| PRONAFACE | Proteger portal, infraestrutura, formulários, área restrita, protocolos, logs e canais oficiais. |
| Usuário | Manter senha segura, conferir domínio oficial, não compartilhar credenciais e evitar canais paralelos. |
| Parceiro | Comunicar somente regras oficiais, não prometer aprovação e não coletar dados fora do fluxo permitido. |
4. Controle de acesso
Utilizamos acesso baseado em funções (RBAC). Funcionários da comissão técnica só acessam dados estritamente necessários para o processo de enquadramento.
Acesso aos próprios dados e status de inscrição.
Gestão do projeto aprovado e suporte técnico.
Acesso restrito para auxílio em tickets e dúvidas.
5. Autenticação
Acesso às áreas logadas exige credenciais únicas. Implementamos sessões persistentes seguras com tokens de curta duração.
O PRONAFACE monitora tentativas de login suspeitas e sessões expiradas.
6. Senhas
Senhas nunca são armazenadas em texto claro. Utilizamos algoritmos de hash com sal para garantir que nem mesmo administradores conheçam sua senha.
- Política de senha forte obrigatória
- Nenhuma senha enviada por e-mail em texto claro
- Rate limit em tentativas de autenticação
7. Proteção contra bots
Sensores detectam atividades automatizadas em formulários de inscrição, bloqueando endereços IP com comportamento suspeito de scraping ou força bruta.
8. Rate limiting
Nossas APIs possuem limites de requisição por tempo, evitando sobrecarga intencional ou tentativas de negação de serviço (DoS).
9. Logs
Registramos acessos e alterações críticas para fins de auditoria, mantendo o histórico por prazos regulatórios e de segurança.
10. Backups
Rotinas automatizadas de backup geodistribuído buscam garantir a resiliência dos dados, podendo permitir a recuperação em caso de desastres tecnológicos, conforme disponibilidade técnica do ambiente.
Nota: Backups apoiam a continuidade, mas não são promessa de recuperação instantânea total.
11. Criptografia em trânsito
A comunicação web é protegida via protocolos TLS (HTTPS), visando evitar a interceptação de dados entre o navegador e nossos servidores.
12. Criptografia em repouso
Dados de identificação sensível são armazenados em volumes com criptografia ativa dentro da infraestrutura de nossos provedores de nuvem, conforme as capacidades técnicas do escopo contratado.
13. Incidentes
Possuímos um plano de resposta a incidentes (PRI) que define fluxos de contenção, análise forense e comunicação a partes interessadas, visando a mitigação de danos em eventuais falhas de segurança.
14. Fornecedores
Homologamos fornecedores de infraestrutura de nuvem que apresentam certificações de segurança globais (como SOC2 ou ISO 27001) para suas camadas de serviço.
15. Desenvolvimento seguro
O código-fonte do portal e do motor Appmart passa por análise estática e revisões de segurança periódicas, buscando identificar e corrigir vulnerabilidades antes de sua exploração.
16. Menor privilégio
Sistemas automatizados e usuários internos operam com permissões minimizadas no banco de dados, visando reduzir o raio de impacto de eventuais acessos não autorizados.
17. Limites
A segurança tecnológica é limitada pelos recursos de cada edição do programa e pelo estado da arte tecnológico vigente. O PRONAFACE não oferece garantias absolutas de invulnerabilidade contra ataques cibernéticos sofisticados ou falhas zero-day.
Segurança não é um estado final, é um processo contínuo de vigilância e adaptação.
18. Canal de vulnerabilidades
Reportes de segurança devem ser enviados exclusivamente para: seguranca@pronaface.com.br.
Diretrizes de Reporte
- • Envie uma descrição clara do problema.
- • Inclua a URL afetada e passos de reprodução.
- • Descreva o impacto potencial.
- • Não realize exploração destrutiva ou exfiltração de dados.
- • Não publique a vulnerabilidade antes de retorno oficial.
Dúvidas Frequentes
Esclarecimentos diretos sobre este tema
Q.O PRONAFACE é seguro?
O PRONAFACE adota boas práticas como controle de acesso, logs, criptografia e resposta a incidentes. Nenhum sistema é 100% invulnerável, por isso focamos em prevenção e melhoria contínua.
Q.Quem acessa meus dados?
O acesso segue o princípio do menor privilégio. Somente perfis autorizados acessam dados estritamente necessários para análise técnica e suporte.
Q.Minha senha fica visível para administradores?
Não. Utilizamos hash com sal, o que impede que qualquer pessoa, inclusive da nossa equipe, veja sua senha original.
Q.O que acontece em caso de incidente?
Ativamos o Plano de Resposta a Incidentes (PRI) para conter a ameaça, investigar a causa e comunicar as partes afetadas conforme a LGPD.
Q.Como reportar uma falha?
Utilize o e-mail oficial seguranca@pronaface.com.br com detalhes técnicos e passos de reprodução.
Privacidade & LGPD
Entenda como tratamos seus direitos e finalidades de dados.
Status do Sistema
Acompanhe a disponibilidade e incidentes em tempo real.
Canal de Denúncia
Relate fraudes, abusos ou vazamentos propositais.
Sua segurança é nossa prioridade
Saiba como protegemos seus dados e sua privacidade.
Dúvidas sobre este documento?
Entre em contato com nosso departamento jurídico.
Conformidade & Integridade Jurídica
O PRONAFACE é uma iniciativa 100% privada da Appmart.ai / Grupo OTB. A inscrição não garante aprovação, concessão de subsídio, percentual de desconto, gratuidade, publicação em lojas ou resultado financeiro. O fomento tecnológico de até 100% depende de análise técnica, viabilidade de escopo, edição vigente e disponibilidade operacional. O benefício não é crédito financeiro e não pode ser convertido em dinheiro. Custos de terceiros, hospedagem, lojas oficiais, APIs, suporte premium e evoluções futuras podem ser cobrados à parte.
Inicie sua jornada digital com fomento técnico.
Submeta sua organização para análise hoje e receba um diagnóstico de elegibilidade em até 48h úteis. Prazo estimado, podendo variar conforme volume de inscrições e complexidade da demanda.