BER, o astronautaber
Governança · Segurança

Política de Segurança da Informação

A PSI da BER estabelece as orientações, normas, ações e responsabilidades para a proteção das informações custodiadas ou de propriedade da empresa, abrangendo todos os ativos de informação e recursos tecnológicos utilizados na operação da plataforma SaaS.

Última atualização · 14/06/2026

1. Objetivos e princípios

A PSI busca atender aos princípios fundamentais de segurança da informação — confidencialidade, disponibilidade, integridade e autenticidade — das informações produzidas, utilizadas, armazenadas ou comunicadas pela empresa e por seus clientes no uso da plataforma.

A PSI é regida pelos preceitos constitucionais, pela legislação brasileira vigente (incluindo a LGPD — Lei nº 13.709/2018 — o Marco Civil da Internet e normas da ANPD) e guiada pelos seguintes princípios:

Conhecimento

Todos os colaboradores, parceiros e usuários da plataforma devem ter ciência das normas e procedimentos de segurança da informação vigentes.

Responsabilidade

As responsabilidades pela proteção de cada ativo de informação e pelo cumprimento dos processos de segurança devem ser claramente definidas e comunicadas.

Proporcionalidade

A complexidade e os custos dos controles devem ser proporcionais ao valor e à criticidade dos ativos, considerando severidade, probabilidade e extensão dos riscos potenciais.

Integração

Os controles e processos de segurança devem ser coordenados e integrados entre si e com os demais processos da organização, formando um sistema coerente e eficaz.

Liberdade e privacidade

Os controles devem ser compatíveis com o legítimo uso e fluxo de informações, respeitando os direitos individuais e coletivos das pessoas e o direito à realização de auditorias.

2. Escopo e abrangência

  • Corpo diretivo, colaboradores, estagiários, prestadores de serviço e parceiros que acessem ou utilizem informações, sistemas ou recursos tecnológicos da BER.
  • Proteção dos ativos de informação nos aspectos físicos, tecnológicos e humanos.
  • Todo o ciclo de vida da informação, desde a criação e coleta até o descarte seguro.
  • Plataforma SaaS e todos os ambientes de infraestrutura associados (nuvem pública, privada e híbrida).
  • Gestão de continuidade do negócio frente a incidentes de segurança.
  • Clientes da plataforma, na medida cabível, no que diz respeito às suas obrigações contratuais de uso seguro.

3. Diretrizes gerais

3.1. Estrutura da PSI

  • A PSI é composta por este documento de diretrizes e complementada por normas e procedimentos específicos.
  • As normas definem conjuntos determinados de ativos e seus respectivos controles.
  • Os procedimentos estabelecem detalhadamente tarefas, ferramentas e responsabilidades operacionais.
  • Atividades não contempladas nesta PSI somente poderão ser realizadas após prévia autorização formal do Núcleo de Segurança da Informação (NSI).

3.2. Gestão

  • Todo ativo de informação deverá ter um responsável formalmente definido.
  • A normatização será orientada por demandas dos processos de trabalho e pelos resultados da gestão de riscos.
  • Os controles serão definidos preferencialmente com base em metodologia formal de gestão de riscos.
  • A proteção ao patrimônio de informação será acompanhada pelo Comitê de Segurança da Informação (CSI).

3.3. Continuidade do negócio

  • Planos de Continuidade de Negócio (BCP) e de Recuperação de Desastres (DRP) garantem níveis adequados de disponibilidade, integridade, confidencialidade e autenticidade dos ativos.
  • Os planos são revisados periodicamente e testados ao menos uma vez por ano.
  • Metas de RTO (Recovery Time Objective) e RPO (Recovery Point Objective) são definidas para os sistemas críticos.

3.4. Propriedade intelectual

  • As informações produzidas por colaboradores e prestadores no exercício de suas funções são patrimônio intelectual da BER, ressalvado o reconhecimento de autoria conforme a lei.
  • Código-fonte, documentação técnica, algoritmos e modelos desenvolvidos internamente são ativos críticos e devem ser devidamente classificados e protegidos.

3.5. Descarte de mídias e dados

  • Destruição física: para mídias físicas danificadas ou inutilizáveis (HDs, SSDs, pen drives, mídias óticas).
  • Desmagnetização: uso de degaussador para mídias magnéticas.
  • Sobrescrita segura: software especializado para mídias reutilizáveis.
  • Exclusão lógica certificada: em ambientes em nuvem, mediante processo documentado e certificado pelo provedor.

A BER mantém registro detalhado de todas as mídias e dados descartados, incluindo data, tipo, volume e método de descarte.

3.6. Segurança física e patrimonial

  • Controle de acesso físico: sistemas de identificação e autenticação (cartões, biometria) para data centers e áreas restritas.
  • Vigilância: uso de CFTV e patrulhas regulares.
  • Sistemas de alarme: contra invasão, incêndio e inundação.
  • Proteção contra desastres: mitigação de danos causados por eventos naturais.

3.7. Controle de acesso lógico

  • Registro atualizado dos direitos de acesso, baseado no princípio do menor privilégio.
  • Controle de acesso baseado em funções (RBAC).
  • Autenticação multifator (MFA) obrigatória para ambientes críticos e administrativos.
  • Auditorias periódicas para assegurar a eficácia dos controles.
  • Revogação de acessos em até 2 horas após desligamento ou mudança de função.
  • Gestão de identidades privilegiadas (PAM) para contas administrativas da plataforma.

3.8. Política de mesa limpa / tela limpa

  • Mesa limpa: documentos sensíveis guardados quando não estiverem em uso.
  • Tela limpa: bloqueio automático após 5 minutos de inatividade; bloqueio manual ao se ausentar.
  • Limpeza de quadros: informações confidenciais devem ser apagadas ao término de reuniões.
  • Monitoramento: auditorias periódicas pelo NSI.

4. Ativos de informação e recursos de TI

  • Ativo de informação: qualquer informação que tenha valor para a empresa, independentemente do formato ou suporte.
  • Recurso de TI: meios de armazenamento, transmissão e processamento, sistemas e infraestrutura de rede e nuvem.
  • Inventário de TI: mantido e atualizado para hardwares, softwares, licenças, APIs e serviços de nuvem.
  • Catálogo de ativos: classificação de confidencialidade, responsável e nível de criticidade.
  • Shadow IT: é vedado o uso de ferramentas, serviços ou infraestruturas não homologados pela área de TI.

5. Proteção de dados pessoais

A BER garante a disponibilidade, integridade e confidencialidade dos dados pessoais em todo o seu ciclo de vida. Medidas adotadas:

  • Tratamento autorizado nos termos da LGPD e demais legislações aplicáveis.
  • Proteção contra acesso não autorizado, destruição, perda, alteração ou tratamento inadequado.
  • Plano de análise e resposta a violações de dados pessoais (Incident Response Plan).
  • Armazenamento controlado e protegido, com nível reforçado para dados pessoais sensíveis.
  • Anonimização e pseudonimização, sempre que necessário e tecnicamente viável.
  • Criptografia em trânsito (TLS 1.2 ou superior) e em repouso (AES-256 ou equivalente).
  • Registro lógico (logs) das operações de tratamento.
  • Descarte seguro ao término da finalidade, observadas as hipóteses legais de retenção.
  • Transferência a Agentes de Tratamento exclusivamente de forma segura e contratualmente prevista (DPA).
  • Mapeamento e manutenção de inventário de fluxos (RoPA).
  • Relatórios de Impacto à Proteção de Dados (RIPD), quando necessário.
  • Notificação à ANPD e aos titulares nos prazos legais em caso de incidente.

6. Segurança no desenvolvimento de software

  • Práticas de Secure by Design e Security by Default desde as fases iniciais (Shift Left Security).
  • Revisões de código com foco em segurança antes da promoção para produção.
  • Análise estática (SAST) e dinâmica (DAST) integradas ao pipeline de CI/CD.
  • Vulnerabilidades rastreadas, priorizadas e corrigidas por criticidade (CVSS).
  • Testes de penetração (pentest) periódicos em homologação e produção.
  • Monitoramento contínuo de dependências de terceiros (SCA).
  • Ambientes de desenvolvimento, homologação e produção estritamente segregados.

7. Gestão de riscos

A gestão de riscos tem por objetivo identificar, analisar, avaliar, tratar e monitorar os riscos que possam comprometer a confidencialidade, disponibilidade, integridade e autenticidade dos ativos.

  • Metodologia baseada em padrões reconhecidos (ISO/IEC 27005, NIST SP 800-30 ou equivalente).
  • Matriz de riscos revisada ao menos anualmente ou após eventos significativos.
  • Riscos residuais aceitos formalmente documentados e aprovados pela diretoria.

8. Penalidades

Ações que violem esta PSI serão devidamente apuradas. Aos responsáveis serão aplicadas as sanções cabíveis, incluindo, conforme a gravidade:

  • Advertência formal.
  • Suspensão de acessos e privilégios.
  • Rescisão contratual por justa causa (colaboradores) ou encerramento do contrato (terceiros e parceiros).
  • Responsabilização civil e penal, conforme a legislação vigente.

9. Papéis e responsabilidades

Representante da Diretoria

Orientação estratégica, supervisão e aprovação final da PSI. Garante o patrocínio executivo das iniciativas de segurança.

Comitê de Segurança da Informação (CSI)

Grupo multidisciplinar responsável pela gestão operacional e estratégica de segurança, incluindo revisão de políticas, gestão de incidentes e comunicação com a diretoria.

Núcleo de Segurança da Informação (NSI)

Equipe técnica responsável pela implementação e monitoramento dos controles, gestão de vulnerabilidades, resposta a incidentes e conformidade com esta PSI.

Encarregado pelo Tratamento de Dados Pessoais (DPO)

Analisa e aprova contratos que envolvam tratamento de dados pessoais, atua como canal de comunicação com a ANPD e titulares e supervisiona a conformidade com a LGPD.

Usuário interno

Qualquer colaborador, estagiário ou prestador de serviço que, por força de vínculo com a BER, tenha necessidade de acesso ou uso de recursos de TI ou ativos de informação.

Usuário externo / cliente

Qualquer pessoa ou organização que acesse informações ou utilize a plataforma SaaS da BER.

10. Aprovação e atualização da PSI

  • Os controles são planejados, implementados e periodicamente avaliados conforme os objetivos institucionais e os riscos identificados.
  • PSI: revisão ordinária a cada 2 anos; extraordinária sempre que houver novo risco relevante, alteração regulatória ou incidente significativo.
  • Normas e procedimentos: revisão extraordinária sempre que necessário, por encaminhamento do CSI e aprovação do Representante da Diretoria.

11. Reportar um incidente de segurança

Suspeita de vulnerabilidade, acesso indevido ou incidente de segurança? Acione o Núcleo de Segurança da Informação pelo e-mail seguranca@ber.com.br. Trate cada relato com a urgência que merece — todo aviso responsável é bem-vindo.