← Voltar ao site

Política de Segurança da Informação

Última atualização: fevereiro de 2026

Objetivo e Abrangência

A presente Política de Segurança da Informação estabelece diretrizes e responsabilidades para proteção dos ativos de informação da Aizen Tecnologia Ltda. (“Aizen”), assegurando confidencialidade, integridade e disponibilidade de dados pessoais, informações corporativas e sistemas essenciais à prestação de serviços da plataforma.

Esta política aplica-se a todos os colaboradores, prestadores de serviço, parceiros e terceiros que tenham acesso a sistemas, dados ou informações da Aizen, em conformidade com a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e as regulamentações do Banco Central do Brasil aplicáveis ao Open Finance.

Princípios Fundamentais

A segurança da informação na Aizen fundamenta-se nos seguintes princípios:

Confidencialidade: garantia de que informações sejam acessadas exclusivamente por pessoas autorizadas, protegendo dados pessoais de usuários, dados financeiros, informações corporativas sensíveis e algoritmos proprietários contra divulgação não autorizada.

Integridade: garantia de que informações sejam precisas, completas e protegidas contra modificações não autorizadas, assegurando confiabilidade dos dados utilizados em análises financeiras e recomendações aos usuários.

Disponibilidade: garantia de que sistemas e informações estejam acessíveis quando necessário, evitando interrupções que prejudiquem a prestação de serviços aos usuários.

Privacidade: tratamento de dados pessoais com o mais elevado padrão de proteção, respeitando direitos fundamentais dos titulares e observando rigorosamente os requisitos da LGPD.

Classificação de Informações

As informações da Aizen são classificadas conforme sensibilidade e impacto de divulgação não autorizada:

Públicas: informações cuja divulgação não causa prejuízo, podendo ser livremente disponibilizadas em canais públicos, como materiais institucionais e conteúdos educacionais aprovados.

Internas: informações de uso corrente nas operações cuja divulgação externa não autorizada pode causar prejuízos operacionais moderados, como procedimentos internos e comunicações corporativas não confidenciais.

Confidenciais: informações cuja divulgação não autorizada pode causar prejuízos significativos, incluindo dados pessoais de usuários, contratos comerciais, estratégias de negócio e documentação técnica de sistemas. O acesso é restrito mediante controles baseados em menor privilégio.

Altamente Confidenciais: informações cuja divulgação causaria danos graves, incluindo dados financeiros bancários individualizados via Open Finance, credenciais de acesso a sistemas críticos, chaves criptográficas e algoritmos proprietários. O acesso é extremamente restrito e continuamente monitorado.

Controle de Acesso

O acesso a sistemas e dados é concedido com base no princípio de menor privilégio, sendo cada pessoa autorizada a acessar apenas informações necessárias ao desempenho de suas funções específicas.

Credenciais de acesso são individuais e intransferíveis, sendo vedado compartilhamento de senhas ou uso de contas genéricas. Senhas devem atender requisitos mínimos de complexidade (mínimo de 12 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais), não podendo ser reutilizadas entre sistemas distintos, devendo ser mantidas em sigilo absoluto.

Autenticação multifator é obrigatória para acesso a sistemas críticos que processam dados financeiros, permitem acesso a ambientes de produção ou viabilizam acesso remoto à infraestrutura.

Revisões periódicas de acessos são conduzidas para garantir que privilégios concedidos permaneçam apropriados às funções desempenhadas, revogando-se imediatamente acessos desnecessários ou ao término de vínculo empregatício ou contratual.

Segurança em Desenvolvimento e Operações

O desenvolvimento de sistemas observa práticas de secure coding, incluindo validação de entradas, proteção contra vulnerabilidades conhecidas e revisões de código focadas em segurança. Ambientes de desenvolvimento, homologação e produção são segregados, sendo vedado uso de dados pessoais reais em ambientes não produtivos.

Alterações em sistemas produtivos seguem processo formal de gestão de mudanças com aprovações apropriadas, testes de segurança e possibilidade de rollback em caso de problemas. Deploys em produção são realizados por pessoas autorizadas e integralmente registrados.

Testes de segurança, incluindo análises de vulnerabilidades e testes de penetração, são conduzidos periodicamente para identificar e corrigir proativamente fragilidades de segurança antes que possam ser exploradas.

O uso de modelos de inteligência artificial na plataforma observa controles específicos de segurança, incluindo validação de saídas geradas por modelos de linguagem (LLM), proteção contra injeção de prompts (prompt injection), restrição de acesso dos modelos a dados classificados como Altamente Confidenciais, monitoramento de comportamento anômalo nas respostas geradas e registro de todas as interações com modelos de IA para fins de auditoria e melhoria contínua. Dados pessoais enviados a provedores de IA são minimizados ao estritamente necessário e tratados conforme acordos de processamento de dados (DPA) firmados com cada provedor.

Proteção de Dados e Criptografia

Dados pessoais, especialmente dados financeiros de usuários, são protegidos mediante criptografia em trânsito e em repouso. Todas as comunicações entre aplicações de usuários e servidores utilizam protocolo TLS 1.3, impedindo interceptação ou modificação de dados transmitidos pela internet.

Dados armazenados em banco de dados e sistemas de armazenamento são criptografados utilizando algoritmos reconhecidos e chaves gerenciadas de forma segura. Backups de dados são igualmente criptografados e armazenados com controles de acesso rigorosos.

Mecanismos de prevenção contra vazamento de dados (Data Loss Prevention) são implementados para detectar e impedir a transferência não autorizada de informações classificadas como Confidenciais ou Altamente Confidenciais, abrangendo controles em endpoints, redes corporativas, serviços em nuvem e comunicações eletrônicas.

O acesso a dados de Open Finance utiliza protocolo OAuth 2.0 conforme padrões estabelecidos pelo Banco Central do Brasil, sendo que a Aizen não armazena credenciais bancárias dos usuários, que permanecem exclusivamente sob controle das instituições financeiras.

A integração com o ecossistema Open Finance Brasil observa os requisitos do Financial-grade API (FAPI) Security Profile 1.0 Advanced, incluindo autenticação mútua TLS (mTLS) com certificados ICP-Brasil, Pushed Authorization Requests (PAR), algoritmo de assinatura PS256, gestão do ciclo de vida de consentimentos com validação de status, e parâmetros de expiração de tokens de acesso conforme especificações técnicas do Banco Central do Brasil.

Segurança de Infraestrutura

A infraestrutura da plataforma utiliza provedores de nuvem reconhecidos, incluindo Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, que possuem certificações de segurança internacionais (ISO 27001, SOC 2, PCI DSS) e implementam controles técnicos e físicos robustos. Todo o processamento e armazenamento de dados pessoais e financeiros é realizado em território brasileiro, em conformidade com os requisitos de residência de dados do Banco Central do Brasil aplicáveis ao Open Finance.

Firewalls, sistemas de detecção de intrusão e outras proteções de perímetro são implementados para proteger a infraestrutura contra acessos não autorizados e ataques externos. Patches de segurança e atualizações de sistemas são aplicados tempestivamente para corrigir vulnerabilidades conhecidas.

Logs de acesso e atividades em sistemas críticos são mantidos pelo prazo mínimo de seis meses para logs de aplicação (conforme o Marco Civil da Internet, Lei nº 12.965/2014) e de cinco anos para registros relativos a operações financeiras (conforme regulamentações do Banco Central do Brasil), permitindo investigação de incidentes e fornecimento de evidências para auditorias ou processos judiciais.

Gestão de Fornecedores e Terceiros

Fornecedores de tecnologia e prestadores de serviço que processam dados pessoais em nome da Aizen são selecionados considerando suas práticas de segurança e proteção de dados, sendo contratualmente obrigados a implementar medidas técnicas e organizacionais adequadas.

Contratos com fornecedores estabelecem obrigações de confidencialidade, limitações de uso de dados, requisitos de segurança, direitos de auditoria e responsabilidades em caso de incidentes de segurança. A conformidade dos fornecedores com os requisitos de segurança estabelecidos contratualmente é avaliada anualmente ou quando houver alteração significativa no escopo dos serviços prestados.

Conscientização e Treinamento

Todos os colaboradores são devidamente capacitados em segurança da informação e proteção de dados, abrangendo políticas internas, boas práticas de segurança, identificação de ameaças comuns como phishing e procedimentos de reporte de incidentes.

Treinamentos de reciclagem são realizados periodicamente para reforçar práticas de segurança e atualizar colaboradores sobre novas ameaças e mudanças em políticas internas.

Gestão de Incidentes de Segurança

Incidentes de segurança são tratados conforme procedimentos estabelecidos na Política de Reporte e Gestão de Incidentes de Segurança da Informação, incluindo identificação, contenção, investigação, erradicação, recuperação e comunicação apropriada a autoridades e titulares afetados quando aplicável. A comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados será realizada no prazo de até 3 (três) dias úteis a contar do conhecimento do incidente que possa acarretar risco ou dano relevante, conforme diretrizes da ANPD.

A comunicação aos titulares de dados afetados incluirá, no mínimo: a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, as medidas técnicas e de segurança adotadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas adotadas para reverter ou mitigar seus efeitos, conforme o artigo 48 da LGPD e a Resolução CD/ANPD nº 15/2024.

Todos os colaboradores possuem responsabilidade de reportar imediatamente incidentes identificados ou suspeitos por meio do endereço suporte@aizen.io.

Continuidade de Negócios

Backups regulares de dados críticos são realizados e armazenados de forma segura, possibilitando recuperação em caso de incidentes. Procedimentos de recuperação de desastres são periodicamente testados para garantir capacidade de restauração de serviços em tempo adequado.

Planos de contingência são mantidos para situações de indisponibilidade de sistemas críticos, incluindo procedimentos alternativos e comunicação com usuários afetados.

Uso Aceitável de Recursos Tecnológicos

Colaboradores devem utilizar recursos tecnológicos corporativos exclusivamente para finalidades profissionais legítimas, sendo vedado uso para atividades ilícitas, acesso a conteúdos inadequados, distribuição de malware ou qualquer prática que comprometa segurança de sistemas.

Equipamentos corporativos como notebooks e smartphones devem ser adequadamente protegidos mediante criptografia de disco, senhas de bloqueio, atualizações de segurança e software antimalware atualizado. Dispositivos perdidos ou roubados devem ser imediatamente reportados para bloqueio remoto e revogação de acessos.

O uso de dispositivos pessoais para acesso a sistemas corporativos (BYOD) é permitido apenas mediante implementação de controles de segurança apropriados, incluindo autenticação multifator, criptografia de disco completa, bloqueio de tela com senha, sistema operacional mantido atualizado com patches de segurança e capacidade de apagamento remoto de dados corporativos.

Responsabilidades

Encarregado de Proteção de Dados (DPO), exercido internamente (contato: dpo@aizen.io): coordenação da implementação desta política, supervisão de práticas de segurança relacionadas a dados pessoais, gestão de incidentes de segurança, interface com autoridades reguladoras e reporte à alta administração.

Equipe de Tecnologia da Informação: implementação e manutenção de controles técnicos de segurança, gestão de vulnerabilidades, resposta técnica a incidentes, administração de acessos e operação de infraestrutura segura.

Colaboradores e Prestadores de Serviço: observância de todas as disposições desta política, proteção de credenciais de acesso, uso adequado de recursos tecnológicos, reporte tempestivo de incidentes e participação em treinamentos de segurança.

Alta Administração: provisão de recursos adequados para implementação de controles de segurança, aprovação de decisões estratégicas relacionadas a segurança da informação e promoção de cultura organizacional que valorize proteção de dados e privacidade.

Conformidade e Sanções

O descumprimento desta política constitui infração disciplinar sujeita a medidas que podem incluir advertência, suspensão ou rescisão contratual conforme gravidade da infração, sem prejuízo a responsabilidades civis e criminais decorrentes de condutas ilícitas.

Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) são elaborados previamente ao tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, conforme o artigo 38 da LGPD, especialmente para atividades envolvendo dados financeiros via Open Finance, tomada de decisão automatizada e processamento por modelos de inteligência artificial.

Auditorias internas e externas são conduzidas periodicamente para verificar conformidade com esta política e identificar oportunidades de melhoria contínua.

Revisão e Atualização

Esta política é revisada anualmente ou sempre que mudanças significativas na regulamentação, infraestrutura tecnológica, ameaças de segurança ou modelo de negócio justifiquem atualização. Alterações substanciais são comunicadas a todos os colaboradores e terceiros relevantes.