CONTEXTUALIZAÇÃO
A METADAX CONSULTORIA E SERVIÇOS (“METADAX” ou “nós”), razão social METADAX CONSULTORIA LTDA, CNPJ nº 65.640.808/0001-89, sediada na Avenida Getúlio Vargas, 671, Sala 500, Parte 1364, Savassi, Belo Horizonte, MG, CEP 30.112-021 - BRASIL, sociedade empresária limitada de direito privado, respeita a privacidade e se compromete a proteger os dados pessoais de seus usuários e clientes. Esta Política de Segurança da Informação (“Política”) explica de forma clara como protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e demais legislações aplicáveis. Ao utilizar nossos serviços ou interagir conosco, você (“usuário” ou "titular dos dados") concorda com os termos desta Política.
Este documento, e todo o conteúdo do site é oferecido pela METADAX CONSULTORIA E SERVIÇOS ou METADAX, com endereços eletrônicos criados, desenvolvidos ou em parceria com a www.metadax.com.br, neste termo representado apenas por "Site", "Plataforma", "Controlador" ou simplesmente "METADAX", que regulamenta todos os direitos e obrigações com todos que acessam os nossos sites, denominado neste termo como "VISITANTE" ou "USUÁRIO", resguardando todos os direitos previstos na legislação, e trazem os itens abaixo como requisito para acesso, uso do conteúdo e visita no Site.
METADAX CONSULTORIA E SERVIÇOS: Conforme disposto no Contrato Social de Sociedade Limitada, registrado na Junta Comercial do Estado de Minas Gerais (JUCEMG), a METADAX CONSULTORIA E SERVIÇOS (“METADAX” ou “nós”), razão social METADAX CONSULTORIA LTDA, CNPJ nº 65.640.808/0001-89, sediada na Avenida Getúlio Vargas, 671, Sala 500, Parte 1364, Savassi, Belo Horizonte, MG, CEP 30.112-021 - BRASIL, tem como Representante e Responsável Legal, PEDRO PAULO ROSEMBERG DA SILVA OLIVEIRA, Sócio Administrador da METADAX.
A permanência em qualquer website da METADAX implica automaticamente na leitura e aceitação tácita desta Política de Segurança da Informação, dos Termos e Condições de Uso e da Política de Privacidade e Proteção de Dados.
OBJETIVO
Esta Política de Segurança da Informação (PSI) estabelece os princípios gerais, as diretrizes diretivas e as normas de segurança adotadas pela METADAX para salvaguardar os seus ativos de informação e de seus clientes.
O foco central desta política é assegurar os três pilares fundamentais da Segurança da Informação:
-
Confidencialidade: Garantir que as informações sejam acessadas apenas por pessoas explicitamente autorizadas.
-
Integridade: Salvaguardar a exatidão e completude da informação e dos métodos de processamento.
-
Disponibilidade: Garantir que os usuários autorizados tenham acesso à informação e aos ativos correspondentes sempre que necessário.
Além disso, esta PSI regulamenta as ações de prevenção, identificação, contenção e mitigação de incidentes de segurança, garantindo a continuidade dos negócios e a conformidade legal.
ABRANGÊNCIA
Esta política aplica-se irrestrita e obrigatoriamente a:
-
Pessoas: Todos os colaboradores, estagiários, prestadores de serviços, terceiros, fornecedores, consultores e parceiros de negócios que realizem qualquer tipo de tratamento ou que tenham acesso (físico ou lógico) a ativos de informação da METADAX ou sob a custódia desta.
-
Tecnologia: Todos os ativos de hardware, software, redes corporativas, servidores, bancos de dados, dispositivos móveis e infraestruturas em nuvem administradas ou utilizadas pela organização.
-
Processos: Todas as atividades operacionais, de desenvolvimento, comerciais e administrativas que envolvam a manipulação de dados corporativos ou de dados pessoais dos usuários.
CLASSIFICAÇÃO DA INFORMAÇÃO
Para garantir o nível correto de proteção a cada ativo de dados, a METADAX adota um modelo de classificação baseado em impacto e criticidade. Toda informação produzida, armazenada ou transmitida deve enquadrar-se em uma das categorias abaixo:
Informações públicas [PÚBLICO]: Informações destinadas ao conhecimento externo ou cuja divulgação pública não traz prejuízos à operação.
Exemplos: Conteúdo institucional do site, postagens em blogs oficiais, comunicados de imprensa e esta própria PSI.
Impacto em caso de Vazamento: Nenhum impacto financeiro, operacional ou reputacional.
Informações internas [INTERNO]: Informações não críticas que devem ser restritas à rotina de trabalho dos colaboradores.
Exemplos: Memorandos internos, organogramas não estratégicos, manuais de operação e comunicações internas de rotina.
Impacto em caso de Vazamento: Impacto limitado e contornável, com baixo risco financeiro ou de imagem.
Informações confidenciais [CONFIDENCIAL]: Informações altamente sensíveis de propriedade exclusiva da METADAX ou sob seu dever de guarda.
Exemplos: Dados pessoais de clientes, registros de faturamento, credenciais, segredos industriais, planos de expansão e códigos de software.
Impacto em caso de Vazamento: Alto impacto operacional, financeiro, legal (sanções LGPD) ou grave dano reputacional.
CRIPTOGRAFIA E PROTEÇÃO DE DADOS
Todas as informações classificadas como Confidenciais devem obrigatoriamente receber camadas de criptografia para garantir sua blindagem.
Criptografia em Trânsito e em Repouso
-
Todo o tráfego de dados sensíveis entre o usuário e as aplicações da METADAX é obrigatoriamente protegido por algoritmos de criptografia forte em trânsito (ex: protocolos TLS/SSL sob HTTPS).
-
Sempre que viável operacionalmente, as informações sensíveis e dados de identificação pessoal (PII) deverão ser armazenados sob criptografia em repouso (AES-256 ou superior).
Infraestrutura Central de Terceiros (Fornecedor WIX)
A METADAX utiliza em sua infraestrutura principal as soluções e o ecossistema do fornecedor de tecnologia WIX, o qual atende aos padrões de mercado mais exigentes do mundo. Entre as proteções robustas integradas a essa infraestrutura, destacam-se:
-
Ciclo de Vida de Desenvolvimento Seguro (S-SDLC): Práticas rigorosas de segurança implementadas desde a concepção do código até o ambiente de produção.
-
Criptografia de Dados de Ponta a Ponta: Mecanismos de proteção contra interceptação e acesso não autorizado.
-
Pagamentos Seguros e Antifraude: Conformidade estrita com o padrão PCI DSS Nível 1 para todas as transações de pagamento.
-
Gerenciamento de Riscos de Terceiros: Auditorias contínuas de segurança nos parceiros e bibliotecas de software integradas.
-
Monitoramento Ativo 24/7: Operações ininterruptas integrando: SOC (Security Operations Center) e SIEM (Security Information and Event Management) integrados; Visibilidade analítica orientada por Inteligência Artificial e Aprendizado de Máquina para identificação de desvios de comportamento na rede; e Programa permanente de recompensa por bugs (Bug Bounty) para mitigação prévia de vulnerabilidades de dia zero.
-
Defesas ativas anti-DDoS (Negação de Serviço Distribuída).
-
Continuidade de Negócios (BCP): Planos consolidados de recuperação de desastres (Disaster Recovery) e simulações de incidentes.
-
Certificações de Excelência: Conformidade comprovada através das certificações de mercado como SOC 2 Tipo 2, conformidade com as normas internacionais de segurança da família ISO, além de plena conformidade legal com legislações de privacidade globais e locais, tais como o GDPR europeu, o CCPA californiano e a LGPD brasileira.
RESPONSABILIDADES DO ENCARREGADO DE DADOS (DPO)
Em total alinhamento com a Lei Geral de Proteção de Dados (LGPD) e conforme detalhado na nossa Política de Privacidade, a METADAX nomeia formalmente um Encarregado pelo Tratamento de Dados Pessoais (DPO - Data Protection Officer). Suas responsabilidades incluem:
-
Ponto de Contato Primário: Atuar como canal oficial de comunicação entre a METADAX, os Titulares dos Dados Pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
-
Orientação e Conformidade: Assessorar o corpo executivo na garantia de que todos os processos organizacionais estejam em conformidade com as exigências da LGPD e demais legislações aplicáveis.
-
Gestão de Registros: Manter e atualizar constantemente o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) e o Registro das Operações de Tratamento de Dados (ROPT).
-
Cultura Corporativa: Desenvolver e coordenar programas de capacitação e treinamentos internos periódicos referentes à privacidade e proteção de dados.
CONTROLES DE SEGURANÇA OPERACIONAIS
A METADAX adota um modelo de defesa em profundidade, aplicando controles em múltiplas frentes tecnológicas e administrativas:
Controle de Acesso Lógico
-
Princípio do Privilégio Mínimo: Os colaboradores possuem credenciais individuais e personalizadas de acesso, restritas apenas ao nível mínimo necessário para a execução de suas funções.
-
Políticas de Credenciais: É obrigatória a utilização de senhas de alta complexidade (letras maiúsculas e minúsculas, números e caracteres especiais) associadas à autenticação multifator (MFA) ativada em todos os sistemas corporativos elegíveis.
Proteção de Endpoints e Dispositivos
-
Todos os computadores e dispositivos eletrônicos corporativos devem possuir softwares antivírus e antimalware atualizados.
-
Uso de firewalls locais ativados e o emprego de conexões criptografadas de rede virtual privada (VPN) para qualquer modalidade de trabalho remoto ou conexões externas.
Rotinas de Backup e Resiliência
-
Realização de backups automatizados e redundantes de todas as informações vitais de negócios.
-
Os backups são testados e armazenados em locais de alta segurança física e lógica, obedecendo a rígidos parâmetros de RTO (Recovery Time Objective - tempo máximo de recuperação) e RPO (Recovery Point Objective - ponto máximo de perda de dados aceitável) para garantir a continuidade operacional frente a qualquer sinistro.
Segurança Física e de Ambientes
-
Controle estrito de acesso físico às dependências físicas da empresa e aos seus servidores.
-
Garantia de que quaisquer instalações físicas possuam proteção ambiental adequada (contra incêndio, inundações ou picos de energia elétrica).
Desenvolvimento Seguro de Software
O desenvolvimento interno de sistemas ou personalizações deve seguir diretrizes rígidas de segurança de código, incluindo revisões cruzadas de programação (code review) e a execução frequente de testes de vulnerabilidades antes do envio de alterações ao ambiente de produção.
Gestão de Contratos e Terceiros
Todos os acordos contratuais celebrados com terceiros, fornecedores ou parceiros de tecnologia devem conter, sob pena de nulidade ou rescisão unilateral por justa causa, cláusulas expressas de conformidade com a segurança da informação e com as prerrogativas da LGPD.
GESTÃO E RESPOSTA A INCIDENTES
Em consonância com as normas de segurança internacional, a METADAX possui um fluxo estabelecido de tratamento de incidentes que visa anular ou minimizar quaisquer efeitos adversos oriundos de ataques, falhas ou vazamentos de dados:
[Detecção/Reporte] ➔ [Avaliação de Criticidade] ➔ [Contenção/Isolamento] ➔ [Investigação Forense] ➔ [Recuperação/Mitigação]
-
Detecção e Monitoramento: Os incidentes são monitorados continuamente de forma automática através de ferramentas de auditoria e podem ser reportados a qualquer momento pela equipe interna ou externamente através do nosso canal dedicado de Reporte de Incidentes.
-
Avaliação e Triagem: Uma vez identificado o incidente, a equipe de segurança da METADAX classifica o evento com base em sua criticidade (Baixa, Média, Alta) e potencial de danos a dados pessoais ou corporativos.
-
Resposta e Contenção: São adotadas medidas emergenciais de contenção física e lógica, tais como isolamento de redes, suspensão temporária de acessos comprometidos, correções imediatas de brechas de segurança (hotfixes) ou acionamento de espelhamento redundante.
-
Investigação Forense: A equipe realiza a análise de causa raiz e coleta de logs para entender como o incidente ocorreu, quais sistemas foram afetados e a extensão do impacto, visando resguardar evidências jurídicas e técnicas relevantes.
-
Recuperação e Reforço: Após a neutralização total da ameaça, os sistemas são limpos, os backups são restaurados de forma segura e novos controles de segurança são imediatamente implementados para prevenir reincidências do mesmo vetor de ataque.
COMUNICAÇÃO DE INCIDENTES E TRANSPARÊNCIA
A transparência constitui um princípio inegociável da METADAX. As diretrizes de comunicação baseiam-se nos canais corporativos e nos compromissos expressos nos Termos e Condições de Uso:
Notificações Internas e Externas
-
Comunicação Interna: A equipe técnica deve reportar imediatamente qualquer vulnerabilidade ou suspeita de incidente de segurança de informação diretamente à Alta Administração.
-
Comunicação aos Clientes e Usuários: Havendo suspeita justificada ou comprovação de incidente que gere risco para os dados de nossos clientes, a METADAX emitirá avisos diretos e transparentes orientando sobre as melhores formas de proteção a serem adotadas.
-
Comunicação às Autoridades: Em conformidade com a LGPD, incidentes que possam acarretar risco ou dano relevante aos titulares de dados pessoais serão comunicados à ANPD dentro dos prazos legalmente definidos.
Monitoramento de Disponibilidade e Canais de Transparência
A METADAX preza pela manutenção constante de seus serviços operando com altíssimos níveis de disponibilidade (uptime). Em caso de falhas temporárias, interrupções ou manutenções, os clientes contam com os seguintes canais oficiais de monitoramento e de validação de segurança:
-
Status de Serviços de Terceiros: metadax.com.br/status
-
Status de Serviços Exclusivos METADAX: status.metadax.com.br
-
Informe Geral de Incidentes em Tempo Real: uptime.betterstack.com/report/6ZHLuVpcMGsyy6uWXwmDj5VC
-
Portal Restrito de Segurança da Informação: seguranca.metadax.com.br
-
Validador Oficial de E-mails (Antifraude): valida-email.metadax.com.br
-
Núcleo de Inteligência Cibernética (INCIBER): inciber.metadax.com.br
Nota sobre Manutenções: Todas as manutenções programadas que possam impactar na estabilidade dos serviços são informadas de forma prévia e transparente em nossa Página de Status. Caso persistam dúvidas operacionais, disponibilizamos o nosso portal unificado de Perguntas Frequentes (FAQ) para o pleno atendimento ao usuário.
TREINAMENTO E CONSCIENTIZAÇÃO
Nenhuma política de segurança é plenamente eficaz sem o comprometimento do fator humano. Assim sendo:
-
Onboarding: Todo novo colaborador da METADAX passa obrigatoriamente por um treinamento introdutório de Segurança da Informação e Proteção de Dados antes de obter suas credenciais finais de acesso aos sistemas de produção.
-
Reciclagem Anual: São realizados eventos e treinamentos de reciclagem ao menos uma vez ao ano para toda a equipe corporativa.
-
Boas Práticas: Campanhas internas e simulações periódicas de ameaças digitais (tais como práticas de engenharia social ou campanhas internas simuladas de phishing) são aplicadas ao longo do ano para reforçar hábitos defensivos no manuseio de dados corporativos.
REGIME DISCIPLINAR E PENALIDADES
O descumprimento, a inobservância negligente ou a violação deliberada das diretrizes, processos e recomendações estabelecidas nesta Política de Segurança da Informação constitui falta grave.
As condutas que causem ou aumentem a exposição da METADAX ou de seus clientes a riscos digitais desnecessários estarão sujeitas às seguintes medidas administrativas e punitivas, de forma progressiva ou imediata, a depender da gravidade do fato apurado:
-
Advertência formal por escrito;
-
Suspensão temporária do acesso aos sistemas e/ou suspensão de atividades laborais;
-
Rescisão do contrato de trabalho por justa causa (no caso de colaboradores CLT) ou rescisão contratual imediata por inadimplemento técnico (no caso de fornecedores ou prestadores terceiros);
-
Acionamento das medidas judiciais cabíveis na esfera civil e criminal para fins de responsabilização por danos materiais, morais e perdas e danos decorrentes de vazamento ou destruição culposa/dolosa de informações corporativas ou dados sob proteção legal.
REVISÃO E GOVERNANÇA
Esta política é um documento dinâmico e será revisada de forma periódica, no mínimo anualmente, ou extraordinariamente sempre que:
-
Ocorrerem alterações legislativas ou regulatórias significativas na jurisdição nacional (por ex., novas diretrizes publicadas pela ANPD);
-
Forem identificadas novas ameaças tecnológicas que demandem a readequação dos controles de segurança ora descritos;
-
Ocorrerem mudanças estruturais relevantes nos provedores de nuvem ou na infraestrutura da METADAX.
A versão atualizada deste documento será imediatamente publicada no canal institucional para livre consulta de parceiros, colaboradores, clientes e usuários.
