Política de Segurança
ÚLTIMA ATUALIZAÇÃO: 20 JULHO, 2025
Esta Política estabelece os princípios e práticas de segurança adoptados pelo Pushnews, garantindo a confidencialidade, integridade e disponibilidade dos dados confiados pelos Clientes, bem como o cumprimento do RGPD, LGPD e demais legislação aplicável.
1. Objectivo
- Proteger os activos de informação do Pushnews contra ameaças internas e externas.
- Assegurar que as medidas de segurança acompanham a evolução do serviço e dos riscos.
- Demonstrar compromisso com a conformidade legal e regulatória.
2. Âmbito
- Aplica‑se a todos os colaboradores, parceiros e sub‑processadores do Pushnews.
- Abrange as infra‑estruturas operadas nos domínios pushnews.com.br e pushnews.eu, incluindo ambientes em Google Cloud Platform, Amazon Web Services e Cloudflare.
3. Responsabilidades
- O Conselho de Administração aprova a presente Política.
- O Gestor de Segurança (Security Lead) supervisiona a implementação diária.
- Todos os colaboradores partilham responsabilidade pelo cumprimento das directrizes de segurança.
4. Controlo de Acesso e Gestão de Identidades
- Autenticação multifactor obrigatória para contas administrativas.
- Princípio do mínimo privilégio e segregação de funções nas permissões.
- Revisões de acesso conduzidas no mínimo uma vez por trimestre.
5. Protecção de Dados
- Encriptação TLS 1.2+ em trânsito e AES‑256 em repouso.
- Dados de pagamento processados exclusivamente pelo gateway Stripe; o Pushnews não armazena credenciais financeiras.
- Backups automáticos diários replicados em múltiplas regiões geográficas.
6. Infra‑estrutura e Rede
- Ambientes segregados por projecto e ambiente (produção, staging, desenvolvimento).
- Firewalls geridos pela nuvem bloqueiam tráfego não autorizado.
- Cloudflare fornece mitigação DDoS, WAF e TLS edge.
7. Monitorização e Logging
- Registo de eventos críticos (acessos, criação de chaves, alterações de configuração).
- Retenção de logs por período indeterminado para fins forenses e de continuidade operativa.
- Alertas em tempo real para actividades anómalas.
8. Gestão de Configuração e Mudanças
- Infra‑estrutura como Código (IaC) para consistência e rastreabilidade.
- Revisões de código e pipelines CI/CD com aprovações obrigatórias.
- Alterações de produção agendadas fora de horas de pico sempre que possível.
9. Gestão de Vulnerabilidades
- Avaliação contínua de dependências e containers com scanners automáticos.
- Correcções prioritárias aplicadas de acordo com a criticidade (até 24 h para falhas críticas).
- Participação em programas de divulgação responsável; relatórios para [email protected].
10. Continuidade de Negócio e Recuperação de Desastres
- Estratégia multi‑região para evitar ponto único de falha.
- Testes de restauração de backups efectuados semestralmente.
- Objectivo de Ponto de Recuperação (RPO): 1 hora. Objectivo de Tempo de Recuperação (RTO): 4 horas.
11. Resposta a Incidentes
- Equipa de resposta dedicada (“IRT”) activada mediante alerta de severidade alta.
- Comunicação inicial ao Cliente afectado no prazo máximo de 4 horas.
- Notificação à autoridade supervisora e titulares dentro de 72 horas quando exigido por lei.
12. Conformidade Legal e Regulamentar
- RGPD (UE) e LGPD (BR) como quadros principais de referência.
- Cláusulas‑tipo de Protecção de Dados (SCC) para quaisquer transferências internacionais.
- Sub‑processadores avaliados quanto a práticas de segurança antes da integração.
13. Sub‑processadores e Localização de Dados
- Google Cloud Platform (EUA/UE)
- Amazon Web Services (EUA/UE)
- Cloudflare (Rede global, dados em trânsito)
- Mixpanel, LogRocket (EUA) para analítica
- Smarkio, AWS SES (EUA/UE) para e‑mail transacional
A lista pode ser actualizada; o Cliente será notificado com antecedência mínima de 30 dias.
14. Actualizações desta Política
O Pushnews revê esta Política anualmente ou sempre que ocorrer mudança relevante na arquitectura, legislação ou avaliação de riscos. Alterações materiais serão comunicadas com 30 dias de antecedência.
15. Contactos de Segurança
© 2025 Pushweb Lda & Pushnews Ltda. Todos os direitos reservados.