1. Introdução ao Framework de Compliance
Seja bem-vinda(o) ao Framework de Compliance da Pragmatismo. Este documento representa nosso compromisso com a excelência operacional e conformidade regulatória no desenvolvimento e operação do General Bots e todos os nossos sistemas de tecnologia. Este framework foi desenvolvido para garantir que todas as operações da empresa estejam em conformidade com as normas ISO 27001, HIPAA e LGPD, assegurando a proteção de dados, a privacidade e a segurança da informação.
Caso identifique um padrão positivo em nossas atividades que possa ser generalizado ou tenha sugestões para aprimorar nosso framework de compliance, envie um e-mail para metodologia@Pragmatismo para avaliação. Opte sempre por descentralizar o conhecimento, editando estes artigos e compartilhando os métodos de trabalho mais seguros, eficazes e em conformidade com os padrões regulatórios.
- 1. Introdução
- 2. Comunicação
- 3. ALM
- 4. Automação
- 5. Ciência de Dados & IoT
- 6. Ferramentas
- 7. Artes, Design e Produção de Mídia
- 8. Políticas de Segurança da Informação
- 9. Gestão de Riscos
- 10. Gestão de Conformidade
- 11. Gestão de Incidentes
- 12. Continuidade de Negócios
- Direitos Autorais
- Glossário
1.1 Objetivo do Framework
Este framework tem como objetivo:
- Estabelecer Conformidade: Garantir que todas as operações da Pragmatismo estejam em conformidade com ISO 27001, HIPAA e LGPD;
- Proteger Dados: Implementar controles técnicos e administrativos para proteger dados sensíveis;
- Gerenciar Riscos: Identificar, avaliar e mitigar riscos de segurança da informação;
- Criar Cultura de Segurança: Promover uma cultura organizacional que valorize a segurança da informação;
- Garantir Continuidade de Negócios: Implementar procedimentos para garantir a resiliência operacional.
1.2 Escopo de Aplicação
Este framework se aplica a:
- Todos os colaboradores da Pragmatismo;
- Sistemas e plataformas de desenvolvimento do General Bots;
- Processos de desenvolvimento de software;
- Infraestrutura de TI e operações;
- Gestão de dados e informações dos clientes;
- Relacionamento com fornecedores e parceiros.
1.4 Normas Gerais de Compliance
-
Todas as atividades da companhia devem ocorrer de acordo com a NR 17: http://www.trt02.gov.br/geral/tribunal2/LEGIS/CLT/NRs/NR_17.html;
-
Todas as operações devem estar em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), ISO 27001 e HIPAA (quando aplicável);
-
Os colaboradores devem participar de treinamentos regulares sobre segurança da informação e proteção de dados;
-
A empresa deve manter um Inventário de Ativos de Informação atualizado;
-
Revisões periódicas das políticas de segurança e conformidade devem ser realizadas pelo menos anualmente;
-
Cada participante do projeto deve contribuir durante a construção do projeto com um artigo em sua área para a companhia;
-
Salvo restrições contratuais informadas em cada caso, de modo simultâneo e coordenado, as novas tecnologias, comportamentos, padronizações, metodologias e outros novos artefatos para projetos em desenvolvimento resultam contribuições para projetos modelo da companhia;
-
Construir artefatos de código apenas com requisitos e macro-tarefas associadas;
-
Sempre verificar com a gerência do projeto e produto a viabilidade de introduzir ou refatorar código com BDD, TDD e/ou código-fonte literal;
-
Certifique-se de que termos, contratos e certificações estão em dia de acordo as instruções individuais de cada documento.
1.5 Matriz de Conformidade
A seguir, apresentamos nossa matriz de conformidade com os principais requisitos das normas ISO 27001, HIPAA e LGPD:
| Requisito | Padrão | Status | Implementação |
|---|---|---|---|
| Segurança de Rede | |||
| TLS 1.3 Configuration | ISO 27001, HIPAA, LGPD | ✅ | Configure modern SSL parameters and ciphers in /etc/nginx/conf.d/ssl.conf |
| Access Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable detailed access logs with privacy fields in /etc/nginx/nginx.conf |
| Rate Limiting | ISO 27001 | ⬜ | Implement rate limiting rules in location blocks |
| WAF Rules | HIPAA | ⬜ | Install and configure ModSecurity with OWASP rules |
| Reverse Proxy Security | ISO 27001, HIPAA, LGPD | ✅ | Configure security headers (X-Frame-Options, HSTS, CSP) |
| Gestão de Identidade | |||
| MFA Implementation | ISO 27001, HIPAA, LGPD | ✅ | Enable and enforce MFA for all administrative accounts |
| RBAC Configuration | ISO 27001, HIPAA, LGPD | ✅ | Set up role-based access control with least privilege |
| Password Policy | ISO 27001, HIPAA, LGPD | ✅ | Configure strong password requirements (length, complexity, history) |
| OAuth2/OIDC Setup | ISO 27001 | ✅ | Configure secure OAuth flows and token policies |
| Audit Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable comprehensive audit logging for user activities |
| Armazenamento e Dados | |||
| Encryption at Rest | ISO 27001, HIPAA, LGPD | ✅ | Configure encrypted storage with key management |
| Bucket Policies | ISO 27001, HIPAA, LGPD | ✅ | Implement strict bucket access policies |
| Object Versioning | HIPAA | ✅ | Enable versioning for data recovery capability |
| Access Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable detailed access logging for object operations |
| Lifecycle Rules | LGPD | ⬜ | Configure data retention and deletion policies |
| Comunicação | |||
| DKIM/SPF/DMARC | ISO 27001, HIPAA, LGPD | ✅ | Configure email authentication mechanisms |
| Mail Encryption | ISO 27001, HIPAA, LGPD | ✅ | Enable TLS for mail transport |
| Content Filtering | ISO 27001, HIPAA, LGPD | ✅ | Implement content scanning and filtering rules |
| Mail Archiving | HIPAA | ⬜ | Configure compliant email archiving |
| Sieve Filtering | ISO 27001, HIPAA, LGPD | ✅ | Implement security-focused mail filtering rules |
| Sistemas Operacionais | |||
| System Hardening | ISO 27001, HIPAA, LGPD | ⬜ | Apply CIS Ubuntu Linux benchmarks |
| System Updates | ISO 27001, HIPAA, LGPD | ✅ | Configure unattended-upgrades for security patches |
| Audit Daemon | ISO 27001, HIPAA, LGPD | ⬜ | Configure auditd for system event logging |
| Firewall Rules | ISO 27001, HIPAA, LGPD | ✅ | Configure UFW with restrictive rules |
| Disk Encryption | ISO 27001, HIPAA, LGPD | ⬜ | Implement LUKS encryption for system disks |
| SELinux/AppArmor | ISO 27001, HIPAA, LGPD | ⬜ | Enable and configure mandatory access control |
| Monitoramento e Logs | |||
| Monitoring Setup | ISO 27001, HIPAA, LGPD | ✅ | Install and configure Prometheus + Grafana |
| Log Aggregation | ISO 27001, HIPAA, LGPD | ✅ | Implement centralized logging (e.g., ELK Stack) |
| Backup e Recuperação | |||
| Backup System | ISO 27001, HIPAA, LGPD | ⬜ | Configure automated backup system with encryption |
| Network Isolation | ISO 27001, HIPAA, LGPD | ✅ | Implement proper network segmentation |
| Gestão de Dados | |||
| Data Classification | HIPAA/LGPD | ✅ | Document data types and handling procedures |
| Session Management | ISO 27001, HIPAA, LGPD | ✅ | Configure secure session timeouts and invalidation |
| Gestão de Certificados | |||
| Certificate Management | ISO 27001, HIPAA, LGPD | ✅ | Implement automated certificate renewal with Let's Encrypt |
| Segurança Ofensiva | |||
| Vulnerability Scanning | ISO 27001 | ✅ | Regular automated scanning with tools like OpenVAS |
| Resposta a Incidentes | |||
| Incident Response Plan | ISO 27001, HIPAA, LGPD | ✅ | Document and test incident response procedures |
| Disaster Recovery | HIPAA | ✅ | Implement and test disaster recovery procedures |
1.6 Documentação Obrigatória
1.6.1 Políticas de Segurança
- Política de Segurança da Informação
- Política de Controle de Acesso
- Política de Senhas
- Política de Proteção de Dados
- Plano de Resposta a Incidentes
1.6.2 Procedimentos
- Procedimentos de Backup e Recuperação
- Procedimentos de Gestão de Mudanças
- Procedimentos de Revisão de Acessos
- Procedimentos de Incidentes de Segurança
- Procedimentos de Resposta a Violações de Dados
1.6.3 Documentação Técnica
- Diagramas de Arquitetura de Rede
- Documentação de Configuração de Sistemas
- Documentação de Controles de Segurança
- Documentação de Padrões de Criptografia
- Documentação de Logging e Monitoramento
1.6.4 Registros de Conformidade
- Relatórios de Avaliação de Riscos
- Logs de Auditoria
- Registros de Treinamento
- Relatórios de Incidentes
- Registros de Revisão de Acesso
1.7 Tarefas Regulares de Manutenção
- Atualizações semanais de segurança
- Revisões mensais de acesso
- Auditorias trimestrais de conformidade
- Testes anuais de penetração
- Testes semestrais de recuperação de desastres
1.8 Segurança de Acesso
- Mantenha sua senha em um local seguro, preferencialmente memorizando-a.
- Altere sua senha imediatamente ao recebê-la.
- Utilize autenticação de múltiplos fatores (MFA) sempre que disponível.
- Nunca compartilhe suas credenciais com outras pessoas.
- Bloqueie seu computador ao se ausentar de sua estação de trabalho.
- Revise regularmente suas permissões de acesso e solicite apenas os privilégios necessários.
1.9 Referências
- ISO 27001 - Sistema de Gestão da Segurança da Informação
- HIPAA (Health Insurance Portability and Accountability Act)
- LGPD (Lei Geral de Proteção de Dados - Lei nº 13.709/2018)
- CIS Benchmarks (Center for Internet Security)
- OWASP (Open Web Application Security Project)
- NIST (National Institute of Standards and Technology)
- http://msdn.microsoft.com
- https://aws.amazon.com/documentation/
- http://wikipedia.org
- https://portal.fiocruz.br/
- http://www.trt02.gov.br
Última atualização: 11 de maio de 2025