Política de Segurança da Informação OQV 2.0
A OQV protege as informações de seus clientes e parceiros com práticas razoáveis e proporcionais ao porte da operação. Esta página descreve, de forma transparente, o que já está em vigor hoje e o que estamos evoluindo no roadmap de segurança.
1 Compromisso e escopo
Aplicamos a esta política colaboradores, prestadores de serviço e parceiros que tenham acesso a dados corporativos ou de clientes, em todos os sistemas, infraestrutura em nuvem, dispositivos e processos envolvidos na operação da OQV.
A política é guiada pelos princípios da tríade clássica de segurança da informação: confidencialidade, integridade e disponibilidade.
2 Práticas em vigor hoje
| Prática | O que significa |
|---|---|
| Criptografia em trânsito (TLS 1.2+) | Toda comunicação entre clientes e os nossos provedores acontece por canais cifrados. |
| Controle de acesso por necessidade (Least Privilege) | Cada acesso é concedido com base no mínimo necessário para a função. |
| Segregação lógica entre clientes | Configurações, bases de conhecimento e fluxos de cada cliente ficam isolados. |
| Logs e auditoria nos provedores | Eventos relevantes ficam registrados em provedores reconhecidos (cloud, mensageria, IA, assinatura eletrônica) para apoiar investigações. |
| Backup periódico em provedores cloud | Cópias de segurança feitas com regularidade na nuvem. |
| Provedores reconhecidos | Trabalhamos com fornecedores estabelecidos, com certificações e garantias contratuais de proteção (por exemplo: AWS, Google Cloud, Meta, OpenAI, Google, Clicksign). |
| Dever de sigilo | Quem tem autorização para tratar dados está vinculado a obrigações de confidencialidade. |
3 Roadmap de segurança em construção
A OQV está em processo de maturação de práticas adicionais. Os itens abaixo estão em implantação ou avaliação e serão promovidos ao bloco "Práticas em vigor" assim que estiverem operacionais e auditáveis.
| Em implantação ou avaliação | O que será |
|---|---|
| MFA obrigatória | Autenticação em dois fatores para acessos administrativos a sistemas críticos. |
| Revisões periódicas de acesso | Conferência formal dos acessos concedidos, com cadência documentada. |
| Plano de resposta a incidentes | Procedimento formalizado e testado, com playbooks e simulações. |
| SSO corporativo | Gestão centralizada de credenciais. |
| Política interna documentada | Regras de uso aceitável, classificação de dados e gestão de fornecedores. |
4 Gestão de incidentes
Em caso de violação de segurança confirmada que possa acarretar risco relevante aos titulares, a OQV comunicará os clientes afetados em prazo razoável após confirmação do incidente, com as informações disponíveis e medidas adotadas. Também observará a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) nos casos previstos em lei.
5 Uso de inteligência artificial
A OQV utiliza modelos de IA fornecidos por provedores externos reconhecidos (OpenAI, Google/Gemini, Anthropic ou equivalente) via API. A OQV não treina modelos próprios e, por padrão, opera com configurações que não autorizam o uso de dados de clientes para treinar modelos dos provedores, conforme termos empresariais e de API desses fornecedores.
Mais detalhes sobre tratamento de dados estão no Termo de Tratamento de Dados (DPA) e na Política de Privacidade.
6 Responsabilidades compartilhadas
Segurança da informação é uma responsabilidade compartilhada. Esperamos que clientes e parceiros: (i) protejam suas próprias credenciais; (ii) não compartilhem acessos administrativos; (iii) mantenham políticas de privacidade e bases legais adequadas sobre seus titulares; (iv) sigam as regras das plataformas utilizadas (WhatsApp, Instagram, Meta etc.); e (v) reportem incidentes ou suspeitas pelo canal abaixo.
7 Contato
Para reportar um incidente, tirar uma dúvida de segurança ou tratar de privacidade, escreva para o nosso Encarregado de Dados (DPO): contato@organizaquevende.com.