Política de Segurança da Informação
Proteção de ativos de informação, sistemas, dados e infraestrutura da Broker BTC
1. Objetivo e Escopo
Esta política estabelece os princípios e requisitos de segurança da informação para a Broker BTC, com objetivo de proteger todos os ativos de informação contra acessos não autorizados, modificações, destruição e divulgação não intencional. O escopo inclui toda infraestrutura de tecnologia, sistemas de informação, dados em qualquer formato, documentação corporativa e operacional, e todas as informações processadas, armazenadas ou transmitidas pela organização.
A política aplica-se a todos os colaboradores, terceiros, fornecedores e parceiros que acessam ou interagem com qualquer ativo de informação da organização. A segurança da informação é responsabilidade compartilhada em todos os níveis da organização e é essencial para manter a confiança dos clientes e conformidade com regulamentos.
2. Princípios Fundamentais
A segurança da informação da Broker BTC repousa sobre oito princípios fundamentais: Confidencialidade - garantir que informações sejam acessíveis apenas a pessoas explicitamente autorizadas; Integridade - manter informações precisas, completas e protegidas contra alterações, corrupção ou destruição não autorizadas; Disponibilidade - assegurar que sistemas e informações estejam disponíveis e acessíveis quando necessário para operações e decisões de negócio.
Complementando esses três pilares clássicos, adotamos: Responsabilidade - cada colaborador é responsável por proteger informações sob seu controle; Compliance - cumprimento rigoroso de leis, regulamentos e standards aplicáveis (LGPD, Marco Civil da Internet, normas BACEN); Melhoria Contínua - revisão constante de processos, tecnologias e políticas à luz de novas ameaças; Minimização de Riscos - identificação sistemática, avaliação e mitigação de riscos; Transparência - comunicação clara com stakeholders sobre políticas, incidentes e práticas de segurança.
3. Definições e Glossário
Informação: Qualquer dado, fato, conhecimento ou contexto em forma eletrônica, impressa ou verbal que possua valor para a organização. Incidente de Segurança: Evento ou série de eventos que resultam em acesso não autorizado, modificação, divulgação, destruição ou indisponibilidade de informações ou sistemas. Ativos: Elementos da organização que possuem valor e devem ser protegidos, incluindo hardware, software, dados, pessoas e documentação.
Dados Pessoais: Qualquer informação que identifique ou permita identificar uma pessoa natural (nome, CPF, email). Dados Pessoais Sensíveis: Dados relacionados a origem racial ou étnica, convicção religiosa, opinião política, dados genéticos ou biométricos. Endpoint: Dispositivo computacional (computador, smartphone, servidor) conectado à rede da organização. Gerenciamento de Risco: Processo sistemático de identificação, análise, avaliação e tratamento de riscos à segurança. Terceiro: Qualquer pessoa jurídica que forneça serviços ou acesse informações da organização.
4. Compromisso e Responsabilidades
A administração é responsável por estabelecer, comunicar e garantir a implementação de controles de segurança alinhados com estratégia de negócio, alocando recursos adequados e revisando regularmente a efetividade das políticas. Colaboradores devem cumprir todas as políticas, relatar incidentes imediatamente, utilizar senhas fortes, proteger dados confidenciais e não acessar informações além do necessário para suas funções. A área de TI e segurança é responsável por implementar, monitorar e manter os controles técnicos, responder a incidentes, realizar auditorias de segurança e comunicar vulnerabilidades descobertas.
Terceiros e fornecedores devem atender aos mesmos requisitos de segurança através de contratos que incluam cláusulas de confidencialidade, indisponibilidade de dados e direito a auditorias. Qualquer violação de segurança por parte de terceiros é de responsabilidade conjunta, e contratos estabelecem mecanismos de remedição e indenização. A organização mantém um registro de terceiros com acesso a informações sensíveis e realiza avaliações periódicas de conformidade.
5. Classificação da Informação
Toda informação é classificada em um de quatro níveis: Pública - informação que pode ser divulgada amplamente sem risco (marketing, informações públicas do site); Interna - informação para uso interno da organização (políticas, procedimentos operacionais); Confidencial - informação que poderia causar dano se divulgada (dados de clientes, estratégia, dados financeiros); Restrita - informação crítica cuja divulgação causaria dano grave (chaves criptográficas, backups de carteiras, credenciais administrativas).
A classificação determina os controles necessários: Informação Pública não exige controles especiais; Interna requer controle de acesso básico e criptografia em trânsito; Confidencial requer autenticação multifator, criptografia em repouso e auditoria de acessos; Restrita requer controles máximos incluindo redundância, isolamento de rede e aprovação dupla para modificações. Todos os colaboradores são responsáveis por classificar corretamente informações que criam ou manipulam.
6. Controle de Acesso
A organização adota o princípio do menor privilégio - cada usuário ou sistema recebe apenas as permissões mínimas necessárias para executar suas funções. Implementamos Controle de Acesso Baseado em Papéis (RBAC) - grupos de usuários com funções similares compartilham conjuntos de permissões predefinidos, facilitando gerenciamento e auditoria. Acessos são provistos através de processo formal com aprovação de gerente imediato e documentação em sistema centralizado.
Autenticação Multifator (2FA/TOTP) é obrigatória para todos os acessos administrativos, acesso a dados confidenciais e operações sensíveis. A organização implementa autenticação de dois fatores baseada em tempo (TOTP) usando aplicativos como Google Authenticator, que gera códigos válidos por 30 segundos. Revisão periódica de acessos ocorre mensalmente para usuários administrativos e trimestralmente para usuários regulares - supervisores certificam que colaboradores mantêm apenas acessos necessários, e contas inativas são desabilitadas automaticamente após 90 dias. Revogação de acesso ocorre imediatamente após desligamento de colaborador.
7. Segurança de Infraestrutura e Redes
A infraestrutura de rede é protegida por firewalls em múltiplas camadas que bloqueiam tráfego não autorizado baseado em regras de política rigorosamente definidas. A segmentação de rede isolam-se ambientes críticos: redes administrativas, redes de produção, ambientes de desenvolvimento e dados de clientes são fisicamente ou logicamente separados para limitar impacto de comprometimento. Monitoramento contínuo de tráfego de rede detecta atividades anômalas, padrões de ataque e comportamento suspeito através de ferramentas de análise de fluxo.
Todas as comunicações são protegidas com TLS 1.2+ ou HTTPS, obrigando criptografia de dados em trânsito. A organização implementa certificate pinning em aplicações móveis e clientes críticos - certificados específicos são incorporados na aplicação para prevenir ataques man-in-the-middle mesmo com certificados forjados válidos. Autenticação HMAC é usada em APIs sensíveis para garantir integridade e autenticidade de requisições através de assinatura criptográfica das mensagens. Servidores são mantidos atrás de proxies reversos que escondem topologia interna e implementam limitação de taxa.
8. Criptografia e Proteção de Dados
Dados em repouso (armazenados em discos, bancos de dados) são criptografados com AES-256-GCM, um dos mais robustos algoritmos simétricos disponíveis. AES com modo GCM (Galois/Counter Mode) fornece não apenas confidencialidade mas também autenticação dos dados criptografados, prevenindo modificações não detectadas. Chaves de criptografia são armazenadas separadamente dos dados em sistemas de gerenciamento de chaves (KMS) com acesso restrito. Dados em trânsito utilizam TLS 1.2+ com suites de cifra fortes, estabelecendo túneis criptografados entre cliente e servidor.
A integridade de dados é garantida através de HMAC (Hash-based Message Authentication Code) que cria assinatura criptográfica de dados permitindo detectar qualquer modificação. A organização mantém gestão rigorosa de chaves - chaves criptográficas são geradas em ambientes seguros, rotacionadas regularmente (mensalmente para chaves operacionais, anualmente para chaves mestras), armazenadas em HSM (Hardware Security Module) ou KMS com acesso auditado. Backup de chaves é realizado em locais geograficamente distribuídos com múltiplas cópias sob controle de múltiplas pessoas. Destruição de chaves antigas é feita com certificação de destruição.
9. Segurança de Aplicações
Todas as aplicações implementam CSP (Content Security Policy) headers que informam ao navegador quais fontes de conteúdo são confiáveis, prevenindo execução de scripts não autorizados e ataques de injeção XSS. Sanitização rigorosa de inputs trata todos os dados de entrada como potencialmente maliciosos - entradas são validadas contra esquemas esperados, caracteres especiais são escapados e inputs são parametrizados em queries SQL para prevenir SQL injection. CSRF (Cross-Site Request Forgery) protection implementa tokens únicos para cada requisição que modifica estado, validados no servidor antes de processar.
Rate limiting restringe o número de requisições por usuário/IP em períodos específicos para prevenir brute force e ataques de negação de serviço. Validação server-side é obrigatória em todas as operações sensíveis - validação client-side é apenas para usabilidade, nunca como controle de segurança. Aplicações são construídas com práticas de "security by design" - segurança é considerada desde a fase de arquitetura, não adicionada depois. Dependências de software são rastreadas e atualizadas automaticamente quando vulnerabilidades são descobertas.
10. Gestão de Vulnerabilidades
A organização realiza testes de penetração periódicos por consultores independentes especializados em segurança ofensiva, simulando ataques reais para descobrir vulnerabilidades antes que adversários as encontrem. Pentests ocorrem minimamente semestralmente em ambientes de produção, com testes de aplicações críticas ocorrendo trimestralmente. Correção de vulnerabilidades segue severa classificação: críticas (8.9-10) são corrigidas dentro de 24 horas; altas (7.0-8.8) em 7 dias; médias (4.0-6.9) em 30 dias; baixas (0.1-3.9) em 90 dias.
Patch management é automatizado quando possível - atualizações de segurança de sistema operacional e aplicações críticas são aplicadas automaticamente em horários programados com reinicializações fora de períodos de pico. Vulnerabilidades descobertas internamente são registradas em sistema de rastreamento com prioridade baseada em risco potencial. Todos os colaboradores são incentivados a reportar vulnerabilidades através de programa de bug bounty responsável - descobridores éticos são reconhecidos publicamente ou compensados conforme acordo. A organização divulga publicamente correções de vulnerabilidades críticas após patch ser disponibilizado.
11. Gestão de Incidentes de Segurança
Um incidente de segurança é definido como qualquer evento que resulte em acesso não autorizado, modificação, divulgação ou destruição não intencional de informações, ou indisponibilidade de sistemas críticos. O processo de resposta a incidentes segue fases bem definidas: Detecção - incidentes são identificados por sistemas de monitoramento, relatórios de usuários ou pesquisadores; Contenção - medidas imediatas isolam o problema para evitar propagação; Erradicação - causa raiz é eliminada removendo malware, fechando vulnerabilidades, alterando credenciais comprometidas.
Recuperação restaura sistemas ao estado operacional normal através de backups verificados; Lições aprendidas documenta o que aconteceu, por que aconteceu, e melhorias implementadas. Todos os incidentes são documentados em relatório detalhado mantido por mínimo 5 anos. Notificação à ANPD é realizada dentro do prazo requerido (72 horas) para qualquer incidente envolvendo dados pessoais onde houver risco aos titulares. Clientes afetados são notificados imediatamente com detalhes do incidente, dados comprometidos e ações recomendadas. A organização mantém seguro de cibersegurança para cobrir potenciais responsabilidades.
12. Backup e Continuidade de Negócios
A estratégia de backup implementa modelo 3-2-1: mínimo 3 cópias dos dados, em 2 mídias diferentes, com 1 cópia armazenada offline/geograficamente distante. Backups de dados críticos ocorrem hora a hora; dados importantes diariamente; dados menos críticos semanalmente. Todos os backups são criptografados com AES-256-GCM e integridade validada através de HMAC. Armazenamento de backup em cloud pública utiliza bucket privado com autenticação multifator necessária para acesso. Cópias offline são armazenadas em cofre seguro de empresa especializada.
RPO (Recovery Point Objective) - objetivo de máxima perda de dados - é 1 hora para sistemas críticos, 1 dia para sistemas importantes. RTO (Recovery Time Objective) - objetivo de máximo tempo de recuperação - é 4 horas para serviços de produção. Teste de recuperação é realizado trimestral para todos os sistemas críticos - backups são restaurados em ambiente de teste para validar integridade, velocidade de recuperação e completude dos dados. Testes são documentados com sucesso/falha e tempo de recuperação real medido. Plano de continuidade de negócios é atualizado anualmente e compartilhado com todos os stakeholders.
13. Segurança em Operações com Criptoativos
Segurança de carteiras (wallets) é crítica para a Broker BTC. Importante ressaltar que a BrokerBTC atua exclusivamente como intermediadora e não custodia, retém ou mantém fundos de clientes em nenhum momento. As carteiras operacionais da plataforma utilizam arquitetura com chaves privadas protegidas e armazenadas em ambiente seguro com acesso restrito. Mutex/lock para transações previne condições de corrida — quando uma transação está sendo processada, o lock garante que os mesmos fundos não são gastos simultaneamente em múltiplas operações. O Bitcoin é enviado diretamente da carteira operacional para o endereço informado pelo cliente, sem etapa intermediária de custódia.
Proteção anti-double-spend valida que cada satoshi é gasto apenas uma vez através de verificação em ledger blockchain antes de confirmar qualquer ordem. Validação rigorosa de endereços BTC verifica que endereços fornecidos por clientes são válidos através de algoritmo de checksum SHA-256, prevendo erros de digitação. Implementamos sistema de aviso se cliente tenta enviar para endereço não visto antes - primeira transação para endereço novo requer confirmação adicional. Auditoria de todas as transações é mantida com timestamp, valores, endereços origem/destino e assinantes autorizadores.
14. Recomendações de Segurança para Clientes
A Broker BTC fornece recomendações de segurança para clientes protejerem suas transações e ativos: Usar carteira segura - utilizare wallet de terceira confiança com código aberto auditado (Electrum, Ledger, Trezor) em vez de plataformas online; Verificar endereços - sempre verificar primeiro e último caracteres do endereço Bitcoin fornecido, comparando com múltiplas fontes confiáveis; Não compartilhar dados - nunca compartilhar seed phrases, chaves privadas ou credenciais de acesso com ninguém, incluindo funcionários da Broker BTC; Utilizar conexão segura - sempre acessar broker.btc via HTTPS, verificando certificado válido, nunca via wifi público.
Proteger contra phishing - ser cauteloso com emails/mensagens que solicitam confirmação de dados, validar sempre URLs clicando em URL digitando manualmente em navegador, verificar links antes de clicar (hovering para visualizar URL real); Ativar 2FA - quando disponível, ativar autenticação de dois fatores em todas as plataformas de cripto; Atualizar software - manter sistema operacional, navegador e antivírus sempre atualizados. A Broker BTC frequentemente publica alertas de segurança recomendando boas práticas conforme novas ameaças surgem.
15. Auditoria e Monitoramento
Logs de auditoria registram toda atividade significativa de segurança - logins (sucesso/falha), mudanças de permissões, acesso a dados sensíveis, modificações em configurações de segurança. Todos os logs incluem timestamp, usuário, ação, resultado e endereço IP. Logs são imutáveis - uma vez escritos não podem ser alterados, apenas lidos. Integridade de logs é garantida através de HMAC - cada log entry é assinado criptograficamente permitindo detectar manipulações. Logs são sincronizados em tempo real para servidor central de logging fisicamente isolado, protegido contra acesso não autorizado.
Monitoramento em tempo real ocorre através de ferramenta integrada que conecta a sistemas de alertas - alertas críticos são enviados via Telegram para time de segurança 24/7, incluindo tentativas de brute force, acessos anômalos, modificações suspeitas em configurações, falhas de autenticação múltiplas. Audit trail completo para operações financeiras permite rastreabilidade total - cada transação pode ser rastreada desde requisição original do cliente, através de autorização, até execução final e confirmação blockchain, com todos os assinantes identificados. Auditores independentes podem revisar logs e validar conformidade com políticas.
16. Conformidade e Auditoria
A Broker BTC está em conformidade com LGPD (Lei Geral de Proteção de Dados) - brasileira implementa rigorosamente direitos de titulares (acesso, retificação, exclusão, portabilidade), mantém registros de atividade de tratamento de dados, realiza avaliação de impacto de privacidade (DPIA) para novas operações envolvendo dados sensíveis, designou Data Protection Officer (DPO) responsável por conformidade. Marco Civil da Internet é respeitado em todas as operações - direito ao acesso, confidencialidade e liberdade de expressão são honrados. Normas BACEN (Banco Central) relacionadas a segurança de sistemas, proteção de dados e operações cambiais/criptográficas são atendidas.
Auditorias periódicas por terceiros independentes ocorrem mínimo anualmente - auditores avaliam conformidade com esta política, efetividade de controles técnicos e operacionais, presença de vulnerabilidades não remediadas, completude de documentação. Auditores possuem acesso irrestrito a sistemas, logs e instalações. Relatórios de auditoria são apresentados a conselho de administração com plano de remediação para achados. Autoavaliações internas ocorrem semestralmente com escopo menor.
17. Treinamento e Conscientização
Um robusto programa de treinamento de segurança da informação é obrigatório para todos os colaboradores - novos colaboradores recebem treinamento inicial antes de ganhar acesso aos sistemas, com conteúdo cobrir segurança básica, esta política, classificação de informação, reconhecimento de phishing. Treinamento anual obrigatório mantém colaboradores atualizados com novas ameaças e boas práticas. Colaboradores com acesso a dados sensíveis recebem treinamento especializado adicional. Todos os colaboradores assinam termo de conformidade anualmente.
Simulações de phishing são realizadas trimestralmente - colaboradores recebem emails de phishing realistas para teste, com resposta correta sendo reportar para time de segurança. Estatísticas de cliques/respostas são rastreadas por departamento. Colaboradores que caem em simulação recebem retraining adicional. Atualização contínua ocorre através de newsletter mensal de segurança, avisos imediatos sobre novos vetores de ataque, workshops semestrais. Conscientização de segurança é integrada na cultura organizacional - segurança não é visto como obstáculo mas como responsabilidade compartilhada. Colaboradores são incentivados a relatar vulnerabilidades sem medo de punição.
18. Revisão da Política
Esta Política de Segurança da Informação é revisada anualmente, preferencialmente no primeiro trimestre do ano, para avaliar adequação aos requisitos de negócio, conformidade com regulamentos atualizados e incorporação de lições aprendidas de incidentes passados. Atualização conforme novas ameaças pode ocorrer a qualquer momento quando classe de ameaça emergente é identificada - mudanças emergenciais são comunicadas imediatamente a todas as partes afetadas com justificativa de urgência. Exemplos incluem descoberta de vulnerabilidade crítica em software largamente utilizado, novo tipo de ataque sendo explorado em empresas similares, ou mudança em postura regulatória.
Aprovação da política é responsabilidade da administração (Conselho de Administração ou Diretor Executivo, conforme estrutura organizacional), com recomendação baseada em análise técnica pela área de segurança. Versão anterior é mantida em arquivo por mínimo 5 anos para referência histórica e conformidade regulatória. Todas as mudanças são documentadas em changelog indicando data da mudança, seção afetada, descrição de mudança e justificativa. Colaboradores são notificados de mudanças significativas com prazo para familiarização antes da efetivação.
Última atualização: Abril de 2026