Segurança e Privacidade em Primeiro Lugar

Protegemos seus dados com os mais altos padrões de segurança e compliance

Última atualização: Novembro de 2025

Visão Geral de Segurança

A Fhinck adota uma abordagem de defesa em profundidade (Defense in Depth), implementando múltiplas camadas de controles de segurança em toda a nossa infraestrutura, aplicações e processos operacionais.

Zero Trust

Privacy by Design

Minimização de Dados

Defesa em Camadas

Transparência

1. Infraestrutura de Nuvem

Hospedagem segura e certificada

Google Cloud Platform (GCP)

Região: Oregon, EUA

Certificações do GCP:

ISO 27001: Gestão de segurança da informação
SOC 2 Type II: Controles de segurança e confidencialidade
PCI-DSS: Padrão de segurança da indústria de cartões
GDPR/LGPD Compliant: Cláusulas de proteção de dados

SLA e Disponibilidade:

SLA GCP: 99,95%

Compromisso Fhinck: 99,5%

Arquitetura Serverless:

Cloud Functions & Cloud Run
Escalabilidade automática
Patches automáticos de segurança

Bancos de Dados Seguros

BigQuery (Data Warehouse):

• Criptografia AES-256 em repouso
• Controles granulares de acesso
• Auditoria completa de queries

Firestore (NoSQL):

• Criptografia automática
• Regras de segurança personalizadas
• Backup diário automatizado

Segregação de Ambientes

Desenvolvimento

Dados sintéticos ou anonimizados

Staging

Testes pré-produção isolados

Produção

Ambiente protegido e monitorado

2. Criptografia

Criptografia em Trânsito

TLS 1.3 (Transport Layer Security)

Todas as comunicações via HTTPS
Certificados SSL/TLS renovados automaticamente
Configuração hardened (sem ciphers fracos)
HSTS (HTTP Strict Transport Security)

Cliente → TLS 1.3 → Load Balancer → TLS interno → Backend

Criptografia em Repouso

AES-256 (Advanced Encryption Standard)

Dados armazenados criptografados no BigQuery
Criptografia proprietária adicional da Fhinck
Backups criptografados com AES-256-GCM

Gerenciamento de Chaves:

• Google Cloud KMS
• Rotação automática de chaves
• Separação por cliente (quando contratado)

Hash de Senhas:

bcrypt (custo 12) - Resistente a ataques de força bruta

Pseudonimização e Anonimização

Opções disponíveis para clientes:

Pseudonimização

ID substituído por hash único

Anonimização Completa

Remoção de identificadores pessoais

Agregação

Apenas dados agregados

3. Controles de Acesso e Autenticação

3.1. Autenticação Multi-Fator (MFA)

Obrigatória para todos os acessos críticos:

Google Workspace (SSO)

GCP (infraestrutura)

GitHub (código-fonte)

1Password (secrets)

Dashboard Fhinck (recomendado)

3.2. Single Sign-On (SSO)

Integração Disponível:

SAML 2.0: Padrão enterprise
OIDC: Protocolo moderno de identidade
Google, Azure AD, Okta, Auth0

Benefícios:

Gestão centralizada de identidades
Credenciais únicas para múltiplos sistemas
Políticas de senha corporativas aplicadas
Revogação instantânea de acesso

3.3. Controle de Acesso Baseado em Função (RBAC)

Perfis granulares no Dashboard:

Visualizador

Acesso somente leitura

Analista

Criação de relatórios

Gestor

Acesso ao departamento

Administrador

Gestão completa

Auditor

Acesso a logs

Princípio do Menor Privilégio: Cada usuário recebe apenas as permissões necessárias para suas funções.

4. Desenvolvimento Seguro de Software

SAST

Análise Estática de Código

• ESLint Security Plugin
• Semgrep (OWASP/CWE)
• CodeQL (GitHub)

DAST

Análise Dinâmica de Aplicações

• OWASP ZAP
• Baseline & Full Scan
• API Security Scan

Vulnerabilidades

Gestão Proativa

• npm audit (semanal)
• Snyk (contínuo)
• Dependabot (automático)

Prazos de Correção de Vulnerabilidades

CRÍTICAS

< 48h

ALTAS

< 10 dias

MÉDIAS

Próximo sprint

BAIXAS

Release futuro

Testes de Penetração

Frequência

Anual

Última Execução

Junho/2025

Resultado

✓ Nenhuma vuln. crítica

9. Privacidade e Proteção de Dados

Conformidade LGPD

Status: Totalmente Conforme

Política de Privacidade publicada

DPIA realizada

DPO designado e identificado

Registro de atividades de tratamento

Cláusulas contratuais (DPA)

Procedimentos de resposta a incidentes

Mecanismos para exercício de direitos

Transparência e consentimento

Funções e Responsabilidades

Controlador: Cliente

Determina finalidades e meios de tratamento

Operador: Fhinck

Processa dados conforme instruções do Controlador

DPO: Michel Zarzour Filho

dpo@fhinck.com
+55 11 97608-9745

Minimização de Dados

✓ Coletamos

• ID usuário, hostname
• Metadados de apps
• Tempos de atividade

✗ NÃO Coletamos

• Screenshots
• Keylogging
• Conteúdo de docs

10. Resposta a Incidentes de Segurança

Processo de Resposta

Detecção

0-2 horas

Contenção

2-8 horas

Notificação

Até 48h

Resolução

Pós-incidente

Equipe de Resposta a Emergências (ERT)

Michel Zarzour Filho

CIO/DPO

+55 11 98174-7375

André Murta

Tech Lead

+55 11 97049-4456

Paulo Castello

CEO

+55 11 99484-4044

13. Auditorias e Certificações

Auditorias Internas

FrequênciaAnual

Última RealizaçãoOutubro/2025

PróximaOutubro/2026

Resultado✓ CONFORME

Certificações

Conformidade LGPD

Totalmente conforme

ISO 27001

Alinhados

Marco Civil da Internet

Conforme

Portaria MTE 671/2021

Conforme

OWASP Top 10

Mitigações implementadas

Infraestrutura (GCP)

ISO 27001

SOC 2 Type II

PCI-DSS

18. Contato e Suporte

Segurança

security@fhinck.com

Resposta em 48h

DPO

dpo@fhinck.com

Michel Zarzour Filho

Suporte Técnico

support@fhinck.com

Seg-Sex, 9h-18h BRT

Emergências

Equipe ERT

24/7 para incidentes críticos

Compromisso Final

A segurança e privacidade dos dados de nossos clientes e usuários são prioridades absolutas da Fhinck. Investimos continuamente em tecnologia, processos e pessoas para manter os mais altos padrões de proteção.

Transparência total sobre nossas práticas

Conformidade rigorosa com todas as leis aplicáveis

Resposta rápida a incidentes e solicitações

Melhoria contínua de nossos controles

Respeito pelos direitos dos titulares de dados

Fale Conosco Contatar DPO Política de Privacidade

Última atualização: Novembro de 2025 | Próxima revisão: Junho de 2026