Central de Políticas e Conformidade

Política guarda-chuva que define a direção e as expectativas de segurança da informação na Bix Tecnologia, protegendo a confidencialidade, a integridade e a disponibilidade das informações.

Provisionamento, movimentação, revisão e revogação de acessos sob modelo RBAC com segregação de funções (SoD).

Diretrizes para identificar, avaliar e tratar riscos de segurança da informação de forma proporcional ao contexto e ao apetite de risco da Bix Tecnologia.

Identificação, classificação e correção de vulnerabilidades em aplicações e infraestrutura, com varreduras periódicas, patching e metas de prazo orientativas.

Manutenção de inventário de hardware, software e dados, com responsáveis definidos e atualização ao longo do ciclo de vida dos ativos.

Mudanças revisadas e rastreáveis, com segregação de ambientes e configuração segura por padrão.

Programa periódico de treinamento técnico do time de software, com tópicos, formato e frequência definidos.

Quatro níveis de classificação — pública, interna, confidencial e restrita — com regras de tratamento proporcionais à sensibilidade.

Diretrizes éticas, legais e de segurança para o uso responsável de IA generativa, machine learning e decisões automatizadas.

Diretrizes para o tratamento de dados pessoais em conformidade com a LGPD e a GDPR — bases legais, direitos dos titulares, Encarregado (DPO) e compartilhamento com terceiros.

Diretrizes para coleta, uso, retenção e descarte seguro de dados ao longo de todo o ciclo de vida, de forma proporcional à sensibilidade e às obrigações legais.

Posicionamento sobre Relatórios de Impacto à Proteção de Dados (DPIA) e de Legítimo Interesse (LIA) no contexto atual de prova de conceito (POC).

Proteção dos dados em trânsito e em repouso por criptografia, com gestão de chaves e segredos em cofre gerenciado.

Proteção de rede e aplicações por firewall, WAF e isolamento de ambientes, com proteção contra ataques comuns e DDoS.

Cópias de segurança automatizadas, capacidade de restauração e diretrizes de continuidade e recuperação, proporcionais ao escopo do POC.

Detecção, resposta e comunicação de incidentes de segurança, com monitoramento das plataformas, registros (logs) e notificação à contratante em até 72 horas.

Posicionamento sobre solução dedicada de Data Loss Prevention (DLP) no contexto atual de prova de conceito (POC), e os controles compensatórios vigentes.

Segurança ao longo do ciclo de desenvolvimento — codificação segura (OWASP), revisão de código, análise automatizada e segregação de ambientes.

Posicionamento sobre testes de intrusão (pentest) independentes no contexto atual de prova de conceito (POC).

Posicionamento sobre auditorias internas e avaliações independentes de segurança no contexto atual de prova de conceito (POC).

Posicionamento sobre apólice de seguro cibernético cobrindo vazamento de dados, ransomware e interrupções operacionais.