A segurança de seus dados genéticos é nossa prioridade máxima. Reconhecemos que dados genéticos são: • Identificadores biométricos únicos • Imutáveis ao longo da vida • Reveladores de informações familiares • Potencialmente sensíveis para emprego e seguros Implementamos controles técnicos e organizacionais de nível empresarial para proteger suas informações contra acesso não autorizado, perda ou vazamento.
Todos os dados são protegidos com criptografia forte: DADOS EM REPOUSO: • Arquivos genéticos: AES-256 • Banco de dados: Criptografia transparente (TDE) • Backups: AES-256 com chaves rotacionadas DADOS EM TRÂNSITO: • TLS 1.3 para todas as comunicações • Certificate Pinning em aplicativos • HSTS habilitado GERENCIAMENTO DE CHAVES: • AWS KMS para gerenciamento • Rotação automática periódica • Segregação de chaves por ambiente
Nossa infraestrutura em AWS inclui: DATA CENTERS: • Certificações SOC 2 Type II, ISO 27001 • Segurança física 24/7 • Redundância geográfica PROTEÇÃO DE REDE: • AWS WAF (Web Application Firewall) • AWS Shield (proteção DDoS) • VPC com subnets privadas • Security Groups restritivos DETECÇÃO: • AWS GuardDuty (detecção de ameaças) • AWS CloudTrail (logs de auditoria) • Alertas em tempo real
Implementamos controles rigorosos: AUTENTICAÇÃO: • Senhas com bcrypt + salt • Suporte a 2FA para usuários • MFA obrigatório para equipe • Tokens JWT com expiração curta AUTORIZAÇÃO: • Princípio de menor privilégio • RBAC (Role-Based Access Control) • Segregação de funções • Revisão trimestral de acessos AUDITORIA: • Logs de todos os acessos a dados genéticos • Logs de ações administrativas • Retenção de 12 meses • Logs imutáveis (append-only)
Medidas específicas para proteção durante análise por IA: MINIMIZAÇÃO DE DADOS: • Enviamos apenas SNPs necessários (30-100 por análise) • Não enviamos identificadores pessoais para APIs de IA • Dados são contextualizados sem PII TRANSMISSÃO SEGURA: • TLS 1.3 para todas as chamadas de API • Autenticação via API keys seguras • Timeout configurado para prevenir vazamentos PROVEDORES SELECIONADOS: • Priorizamos provedores com Zero-Data-Retention • Políticas de não-treinamento verificadas • Certificações de segurança avaliadas LIMITAÇÕES: • Não podemos garantir 100% que provedores seguem suas políticas • Dados enviados para China (DeepSeek, Qwen) estão sujeitos a jurisdição chinesa
Práticas de desenvolvimento seguro: CÓDIGO: • Code review obrigatório • SAST (Static Application Security Testing) • Dependências auditadas e atualizadas • Secrets em vault, nunca em código TESTES: • Testes de segurança automatizados • Penetration testing periódico • Validação de inputs • Sanitização de outputs DEPLOY: • CI/CD com gates de segurança • Ambientes segregados (dev/staging/prod) • Rollback automatizado • Imagens de container escaneadas
Monitoramento 24/7: MÉTRICAS: • Performance e disponibilidade • Tentativas de acesso falhadas • Padrões de uso anômalos • Latência de APIs de IA ALERTAS: • Threshold-based e ML-based • Notificação imediata à equipe • Escalação automática • Resposta automatizada a ameaças conhecidas DASHBOARDS: • Visibilidade em tempo real • Histórico de incidentes • KPIs de segurança
Estratégia robusta de backup: FREQUÊNCIA: • Backups automáticos diários • Snapshots a cada 6 horas • Transaction logs contínuos REDUNDÂNCIA: • Múltiplas regiões AWS • Backups offsite criptografados • Retenção de 30 dias RECUPERAÇÃO: • RTO: 4 horas • RPO: 1 hora • Testes de restore mensais • Plano de DR documentado
Processo estruturado de resposta: PLANO: • Documentação completa e atualizada • Equipe de resposta designada • Playbooks para cenários comuns RESPOSTA: • Detecção em minutos • Contenção imediata • Investigação forense • Comunicação estruturada NOTIFICAÇÃO: • ANPD: até 2 dias úteis (incidentes relevantes) • Titulares: sem demora injustificada • GDPR: 72 horas PÓS-INCIDENTE: • Root cause analysis • Lições aprendidas • Implementação de melhorias
Aderimos aos seguintes padrões: REGULATÓRIO: • LGPD (Lei 13.709/2018) • GDPR (Regulamento 2016/679) • Marco Civil da Internet FRAMEWORKS: • OWASP Top 10 • CIS Controls • NIST Cybersecurity Framework INFRAESTRUTURA: • AWS: SOC 2, ISO 27001, HIPAA elegível • Stripe: PCI-DSS Level 1 AUDITORIAS: • Avaliação de vulnerabilidades trimestral • Penetration testing anual • Auditoria de conformidade anual
Nossa equipe segue rigorosos padrões: CONTRATAÇÃO: • Verificação de antecedentes • NDA obrigatório • Acordo de confidencialidade específico para dados genéticos TREINAMENTO: • Onboarding de segurança • Treinamento anual em LGPD/GDPR • Simulações de phishing • Atualizações sobre ameaças ACESSO: • Mínimo necessário por função • Revisão a cada mudança de cargo • Revogação imediata em desligamento
Encorajamos divulgação responsável de vulnerabilidades: CONTATO: [email protected] O QUE ESPERAMOS: • Descrição detalhada da vulnerabilidade • Passos para reprodução • Impacto potencial estimado • Não explorar ou divulgar publicamente NOSSA RESPOSTA: • Confirmação em 48 horas • Avaliação em 7 dias • Correção priorizada por severidade • Crédito ao pesquisador (se desejado) • Possível recompensa para descobertas críticas
Contato Geral: [email protected]
Privacidade e Proteção de Dados (DPO): [email protected]
Segurança: [email protected]