Normas de Segurança

Estas normas têm por objetivo estabelecer controles mínimos de segurança para prevenção, detecção, resposta e recuperação de incidentes que possam afetar confidencialidade, integridade, disponibilidade e rastreabilidade de informações.

Aplicam-se a usuários internos, clientes, parceiros e terceiros autorizados que acessem a plataforma, sistemas correlatos, APIs, ambientes administrativos e dados tratados no contexto dos serviços AgroHorizon.

O acesso deve observar autenticação segura e princípio do menor privilégio, com concessão de permissões estritamente necessárias às atribuições de cada perfil.

Credenciais são pessoais e intransferíveis. É obrigatório o uso de senha robusta, renovação periódica quando aplicável e comunicação imediata em caso de suspeita de comprometimento.

Contas inativas, órfãs, duplicadas ou sem justificativa operacional devem ser revisadas e desativadas em prazo razoável.

Acessos administrativos e privilegiados devem ser restritos, monitorados, segregados por função e protegidos por controles reforçados de autenticação e auditoria.

Toda elevação de privilégio deve possuir justificativa operacional, registro de concessão e revisão periódica de necessidade.

Ambientes devem adotar hardening, atualização de segurança, monitoramento de vulnerabilidades, proteção contra malware, controles de firewall e segmentação de rede compatíveis com os riscos do negócio.

O uso da plataforma em dispositivos deve observar requisitos mínimos de segurança, incluindo sistema atualizado, proteção local e prevenção de acesso não autorizado.

Dados pessoais e informações sensíveis devem ser protegidos por controles técnicos e administrativos adequados ao risco, com políticas de classificação da informação e regras de acesso por necessidade de conhecimento.

Sempre que tecnicamente viável e adequado, deverão ser adotados mecanismos de criptografia em trânsito e em repouso, gestão segura de chaves e controles de integridade.

Eventos relevantes de segurança e uso de recursos críticos devem ser registrados, preservados e monitorados para fins de auditoria, investigação de incidentes e conformidade.

Logs devem conter granularidade compatível com a criticidade do ambiente, respeitando controles de acesso, retenção e integridade das evidências.

A AgroHorizon adotará processo contínuo de identificação, avaliação e tratamento de vulnerabilidades, com priorização baseada em criticidade, exposição e impacto de negócio.

Mudanças em sistemas e configurações devem seguir processo formal de gestão de mudanças, com testes, aprovação, plano de rollback e registro de execução.

Todo incidente ou suspeita deve ser reportado imediatamente aos canais definidos, com acionamento de procedimento de triagem, contenção, erradicação, recuperação e lições aprendidas.

Incidentes com potencial impacto a dados pessoais serão tratados conforme LGPD e normas da ANPD, com comunicação aos titulares e autoridades quando legalmente exigido.

Devem ser mantidos controles de continuidade compatíveis com a criticidade dos serviços, incluindo rotinas de backup, testes periódicos de restauração e planos de recuperação.

A estratégia de continuidade considera indisponibilidades por falhas técnicas, eventos de segurança, interrupções de terceiros e demais cenários de risco operacional relevante.

O cumprimento destas normas é obrigatório para todos os usuários autorizados. Violações podem ensejar bloqueio de acesso, medidas contratuais, disciplinares e responsabilização civil, administrativa e penal, quando cabível.

A AgroHorizon poderá realizar auditorias, revisões de conformidade e ações corretivas para assegurar aderência contínua às presentes normas.

Estas Normas de Segurança entram em vigor na data de sua publicação e permanecem válidas até substituição por nova versão.

O documento poderá ser revisado periodicamente para incorporar melhorias técnicas, exigências regulatórias, evolução de ameaças e mudanças de arquitetura.