✅ Compliance e Conformidade - CSuite
Versão: 1.0
Última Atualização: 2025-01-02
Responsável: Equipe de Compliance e Segurança
📋 Índice
- Visão Geral
- Framework de Compliance
- LGPD (Lei Geral de Proteção de Dados)
- GDPR (General Data Protection Regulation)
- Controles de Segurança
- Auditoria e Monitoramento
- Retenção de Dados
- Direitos dos Titulares
- Incidentes e Notificações
- Treinamento e Conscientização
🎯 Visão Geral
Este documento define os requisitos de compliance e conformidade do ecossistema CSuite, incluindo LGPD, GDPR, segurança da informação e boas práticas de governança.
Escopo
- Dados Pessoais: Informações de clientes, vendedores, usuários
- Dados Sensíveis: Informações financeiras, comportamentais, de decisão
- Dados Operacionais: Logs, métricas, eventos do sistema
- Infraestrutura: Servidores, bancos de dados, serviços
Princípios
- Privacidade por Design: Proteção de dados desde a concepção
- Minimização: Coletar apenas dados necessários
- Transparência: Informar sobre uso de dados
- Segurança: Proteger dados com medidas adequadas
- Responsabilidade: Demonstrar conformidade
📚 Framework de Compliance
Normas Aplicáveis
| Norma | Escopo | Status |
|---|---|---|
| LGPD | Dados pessoais no Brasil | ✅ Aplicável |
| GDPR | Dados pessoais na UE | ⚠️ Se aplicável |
| ISO 27001 | Segurança da informação | 🟡 Em avaliação |
| PCI DSS | Dados de cartão | ❌ Não aplicável |
| SOX | Controles financeiros | 🟡 Se aplicável |
Mapeamento de Dados
Dados Pessoais no CSuite:
- Clientes (Revendas): Nome, CNPJ, endereço, contatos
- Vendedores: Nome, ID, histórico de vendas, performance
- Usuários do Sistema: Email, permissões, logs de acesso
- Dados de Decisão: Histórico de decisões, contextos, outcomes
Schemas com Dados Pessoais:
- core - Dados principais de clientes
- csuite_context - Contextos e eventos
- csuite_executive - Decisões e políticas
- csuite_memory - Memória institucional
🇧🇷 LGPD (Lei Geral de Proteção de Dados)
Base Legal
Bases legais utilizadas:
1. Execução de contrato - Dados necessários para prestação de serviços
2. Legítimo interesse - Análise de performance e otimização
3. Consentimento - Quando aplicável (dados opcionais)
Direitos dos Titulares (LGPD)
Direitos garantidos:
1. ✅ Confirmação de existência de tratamento
2. ✅ Acesso aos dados
3. ✅ Correção de dados incompletos/inexatos
4. ✅ Anonimização, bloqueio ou eliminação
5. ✅ Portabilidade dos dados
6. ✅ Eliminação de dados tratados com consentimento
7. ✅ Informação sobre compartilhamento
8. ✅ Revogação de consentimento
Implementação
Endpoints para exercício de direitos:
GET /api/compliance/data-subject/{id} # Acesso aos dados
PUT /api/compliance/data-subject/{id} # Correção
DELETE /api/compliance/data-subject/{id} # Eliminação
GET /api/compliance/data-subject/{id}/export # Portabilidade
Procedimento:
1. Receber solicitação do titular
2. Verificar identidade
3. Processar solicitação em até 15 dias
4. Notificar titular sobre resultado
🇪🇺 GDPR (General Data Protection Regulation)
Aplicabilidade
GDPR aplica-se se:
- Processamento de dados de residentes da UE
- Oferecimento de serviços na UE
- Monitoramento de comportamento na UE
Status atual: ⚠️ Avaliar necessidade conforme expansão
Requisitos GDPR
Se aplicável, garantir:
- ✅ Privacy by Design - Implementado
- ✅ Data Protection Impact Assessment (DPIA) - Para novos projetos
- ✅ Data Protection Officer (DPO) - Designar se necessário
- ✅ Breach Notification - Em 72 horas se aplicável
- ✅ Right to be Forgotten - Implementar se necessário
🔒 Controles de Segurança
Criptografia
Dados em Trânsito:
- ✅ TLS 1.2+ obrigatório para todas as comunicações
- ✅ HTTPS via Traefik com Let's Encrypt
- ✅ Certificados SSL válidos e renovação automática
Dados em Repouso:
- ✅ Senhas: Hash bcrypt/argon2
- ✅ Tokens JWT: Assinados e com expiração
- ✅ Secrets: Docker Swarm secrets (criptografados)
- 🟡 Dados sensíveis em banco: Avaliar criptografia adicional
Acesso e Autenticação
Controles implementados:
- ✅ Autenticação centralizada
- ✅ Tokens JWT com expiração
- ✅ Rate limiting por usuário/IP
- ✅ Logs de autenticação
- ✅ Revogação de tokens (se implementado)
Controles recomendados:
- 🟡 MFA (Multi-Factor Authentication) - Planejado
- 🟡 SSO (Single Sign-On) - Em avaliação
- 🟡 Session timeout automático - Planejado
Segurança de Dados
Medidas implementadas:
- ✅ Backups automáticos diários
- ✅ Retenção de backups (30 dias + 12 mensais)
- ✅ Isolamento de ambientes (produção/staging)
- ✅ Data masking em logs (quando aplicável)
Medidas recomendadas:
- 🟡 Criptografia de backups - Planejado
- 🟡 Backup offsite - Planejado
- 🟡 Anonimização de dados de teste - Planejado
🔍 Auditoria e Monitoramento
Logs de Auditoria
O que é registrado:
- ✅ Acessos ao sistema (login/logout)
- ✅ Operações em dados pessoais (CRUD)
- ✅ Alterações de configuração
- ✅ Decisões críticas do Policy Engine
- ✅ Acessos a APIs
Retenção de logs:
- Logs de acesso: 90 dias
- Logs de auditoria: 1 ano
- Logs de segurança: 2 anos
- Logs de decisão: Conforme política de retenção
Monitoramento de Compliance
Métricas monitoradas:
- Taxa de solicitações de direitos do titular
- Tempo de resposta a solicitações
- Incidentes de segurança
- Acessos não autorizados
- Alterações em dados pessoais
Dashboards:
- Grafana: Métricas de compliance
- Kibana: Análise de logs de auditoria
📦 Retenção de Dados
Política de Retenção
Dados Pessoais:
- Dados ativos: Enquanto necessário para prestação de serviços
- Dados inativos: 2 anos após último uso
- Dados de decisão: 5 anos (conforme necessidade de auditoria)
- Logs de acesso: 90 dias
- Backups: 30 dias diários + 12 mensais
Eliminação de Dados
Procedimento:
1. Identificar dados a eliminar
2. Verificar dependências (foreign keys, referências)
3. Anonimizar ou eliminar
4. Registrar ação em log de auditoria
5. Confirmar eliminação
Script de exemplo:
-- Anonimizar dados pessoais (exemplo)
UPDATE core_companies
SET company_name = CONCAT('ANON_', company_id),
contact_email = NULL
WHERE company_id = ?;
👤 Direitos dos Titulares
Solicitação de Acesso
Como solicitar:
1. Email: compliance@internut.com.br
2. Formulário: (se implementado)
3. API: GET /api/compliance/data-subject/{id}
Informações fornecidas:
- Dados pessoais armazenados
- Finalidade do tratamento
- Base legal
- Período de retenção
- Compartilhamento (se houver)
Solicitação de Correção
Como solicitar:
- Mesmos canais de acesso
Processo:
1. Verificar identidade
2. Validar dados a corrigir
3. Atualizar em todos os sistemas
4. Confirmar correção
5. Notificar sistemas integrados (se aplicável)
Solicitação de Eliminação
Como solicitar:
- Mesmos canais de acesso
Processo:
1. Verificar identidade
2. Verificar base legal (se pode eliminar)
3. Anonimizar ou eliminar dados
4. Confirmar eliminação
5. Registrar em log de auditoria
Exceções (dados não podem ser eliminados):
- Obrigação legal de retenção
- Dados necessários para execução de contrato
- Dados anonimizados (já não são pessoais)
🚨 Incidentes e Notificações
Classificação de Incidentes
Incidente de Dados Pessoais:
- Acesso não autorizado a dados pessoais
- Vazamento de dados pessoais
- Perda de dados pessoais
- Alteração não autorizada de dados pessoais
Procedimento de Notificação
LGPD:
- Autoridade: ANPD (Autoridade Nacional de Proteção de Dados)
- Prazo: Em caso de risco aos titulares
- Titulares: Notificar se risco alto
GDPR (se aplicável):
- Autoridade: Supervisory Authority
- Prazo: 72 horas após conhecimento
- Titulares: Notificar se risco alto
Processo:
1. Detectar incidente
2. Contenção imediata
3. Avaliar risco aos titulares
4. Notificar autoridade (se necessário)
5. Notificar titulares (se risco alto)
6. Documentar incidente
Mais informações: SECURITY_INCIDENT_RESPONSE.md
🎓 Treinamento e Conscientização
Treinamento Obrigatório
Para equipe técnica:
- LGPD e GDPR básico
- Segurança de dados
- Procedimentos de compliance
- Tratamento de solicitações de titulares
Frequência: Anual (mínimo)
Conscientização
Boas práticas:
- ✅ Minimizar coleta de dados
- ✅ Usar dados apenas para finalidade declarada
- ✅ Proteger dados pessoais
- ✅ Reportar incidentes imediatamente
- ✅ Respeitar direitos dos titulares
📊 Relatórios de Compliance
Relatórios Periódicos
Mensal:
- Solicitações de titulares processadas
- Incidentes de segurança
- Métricas de acesso
Trimestral:
- Revisão de políticas
- Atualização de controles
- Treinamento realizado
Anual:
- Auditoria completa
- Relatório para diretoria
- Plano de melhorias
✅ Checklist de Conformidade
LGPD
- [x] Mapeamento de dados pessoais
- [x] Base legal identificada
- [x] Direitos dos titulares implementados
- [x] Segurança de dados
- [x] Retenção de dados definida
- [x] Procedimentos de incidente
- [ ] DPO designado (se necessário)
- [ ] Relatório de Impacto à Proteção de Dados (RIPD)
Segurança
- [x] Criptografia em trânsito (TLS)
- [x] Autenticação implementada
- [x] Logs de auditoria
- [x] Backups automáticos
- [ ] Criptografia em repouso (avaliar)
- [ ] MFA implementado
- [ ] Testes de penetração periódicos
📞 Contatos
Compliance
- Email: compliance@internut.com.br
- Responsável: [Nome do responsável]
DPO (Data Protection Officer)
- Email: dpo@internut.com.br
- Status: [Designado/Pendente]
Segurança
- Email: security@internut.com.br
- Mais informações: SECURITY_INCIDENT_RESPONSE.md
🔗 Documentos Relacionados
- SECURITY_INCIDENT_RESPONSE.md - Resposta a incidentes
- DISASTER_RECOVERY.md - Recuperação de desastres
- DATA_MASKING.md - Mascaramento de dados
- AUTHENTICATION.md - Autenticação
Última Revisão: 2025-01-02
Próxima Revisão: 2025-04-02 (trimestral)
Aprovação: [Nome do aprovador] - [Data]