Política de Segurança da Informação
Versão information_security_policy_v1.20260711 · Publicado em 11/07/2026
Esta Política de Segurança da Informação descreve, em linguagem acessível, as principais medidas técnicas e administrativas adotadas pela URSO PARDO COMERCIAL E TECNOLOGIA LTDA, CNPJ nº 45.548.780/0001-47 ("Urso Pardo", "Cuidaro", "nós"), para proteger os dados tratados na plataforma Cuidaro, em atendimento ao art. 46 da LGPD.
Nota de transparência: este documento descreve controles efetivamente confirmados na Plataforma até a data de redação. Evitamos deliberadamente prometer controles que ainda não existem — preferimos um documento mais enxuto e verdadeiro a um documento genérico de "melhores práticas de mercado" que não reflita a realidade atual do sistema.
1. Controle de acesso
- Cada Usuário acessa a Plataforma com credenciais próprias (e-mail e senha), sendo vedado o compartilhamento de credenciais entre pessoas.
- Senhas são armazenadas de forma criptografada (hash), nunca em texto plano, com exigência de tamanho mínimo de 8 caracteres no cadastro.
- Tentativas de login e de cadastro são limitadas por controle de taxa de requisições (rate limiting), como proteção contra ataques de força bruta e enumeração automatizada de contas.
- Autenticação em duas etapas (2FA) ainda não está disponível hoje. Isso é um ponto de evolução futura, especialmente para perfis administrativos.
2. Isolamento entre empresas (arquitetura multi-tenant)
A Plataforma foi desenhada para isolar logicamente os dados de cada Empresa-Cliente: consultas ao banco de dados aplicam automaticamente um filtro por empresa nos modelos de dado que armazenam informação de tenant, prevenindo que uma empresa acesse, mesmo que por erro de uso, dados de outra empresa.
3. Transporte e infraestrutura
- O acesso à Plataforma ocorre por conexão criptografada (HTTPS).
- A infraestrutura de hospedagem está localizada no Brasil, operada pela Hostinger.
- Nossa arquitetura de aplicação segue boas práticas de separação entre lógica de negócio, autorização (controle de permissões por perfil de usuário) e validação de entrada de dados.
4. Registro e auditoria
Ações relevantes realizadas na Plataforma ficam registradas em log de auditoria interno, permitindo rastrear quem fez o quê e quando, para fins de investigação de incidente e conformidade com o dever de guarda de registros de acesso do Marco Civil da Internet.
5. Continuidade e backup
Mantemos rotina de backup dos dados como parte da operação da infraestrutura de hospedagem. Não temos, até o momento, um documento formal com periodicidade de backup, prazo de retenção de backup e teste de restauração publicados — esse é um ponto identificado nesta revisão como pendente de formalização, e será atualizado nesta política assim que definido.
6. Gestão de fornecedores
Os subprocessadores que têm acesso a dados tratados pela Plataforma (Asaas, PlugNotas, Hostinger, Google) são selecionados por sua relevância para o funcionamento do serviço contratado, e estão listados de forma transparente na Política de Privacidade.
7. Resposta a incidentes
Em caso de incidente de segurança com potencial impacto a dados pessoais, seguimos processo interno de avaliação, contenção e comunicação, descrito no nosso Plano de Resposta a Incidentes, alinhado ao art. 48 da LGPD.
8. O que não afirmamos
Para manter este documento honesto, deixamos explícito o que não oferecemos hoje: certificação formal de segurança da informação (ex.: ISO 27001), autenticação em duas etapas, ou um programa formal e testado de continuidade de negócio (disaster recovery). Nenhuma dessas ausências invalida as medidas de proteção já em vigor descritas acima, mas achamos mais correto declarar isso do que deixar a interpretação em aberto.
9. Contato
Dúvidas ou relatos de vulnerabilidade podem ser enviados para rdomingos@ursopardo.com.br.
Política de Segurança da Informação · information_security_policy_v1.20260711 · Vigente desde 11 de July de 2026