POLÍTICA DE SEGURANÇA

Alinhada com ISO/IEC 27001 e SOC 2

1. Introdução

O DeskCamera é um aplicativo de software que transmite a tela e o áudio do computador para sistemas NVR/VMS usando os protocolos ONVIF/RTSP. Ele é projetado para funcionar totalmente no ambiente local do cliente, sem transmitir, coletar ou armazenar dados do usuário ou conteúdo de vídeo. O software é desenvolvido seguindo rigorosos padrões de segurança e práticas de conformidade.

2. Objetivo da Política

Definir a estrutura de segurança e as responsabilidades para garantir a confidencialidade, integridade e disponibilidade do aplicativo DeskCamera, em conformidade com os critérios de confiança da ISO/IEC 27001 e do SOC 2.

3. Princípios Fundamentais de Segurança

  • Arquitetura Local: O DeskCamera opera exclusivamente dentro da infraestrutura do cliente e não requer conexão com a internet ou servidores externos. Uma conexão opcional com a infraestrutura em nuvem do DeskCamera pode ocorrer apenas para fins de verificação de licença ou atualização. Nenhum dado pessoal é transmitido durante essas conexões.

  • Sem Coleta de Dados: O aplicativo não coleta nem transmite dados de usuário, vídeos ou telemetria.

  • Gestão Segura do Código-Fonte (ISO 27001 A.9, A.12): O código-fonte é mantido em um repositório DevOps seguro, com controle de acesso baseado em funções, registro de atividades e auditorias regulares.

  • Builds Assinadas (SOC 2 – Integridade do Sistema): Todas as versões do aplicativo são assinadas digitalmente com um certificado armazenado de forma criptografada em um token de hardware (como HSM ou Yubikey), conforme os padrões modernos de criptografia e segurança física.

  • Ciclo de Vida de Desenvolvimento Seguro (SDLC): O DeskCamera segue um ciclo de desenvolvimento seguro que inclui design seguro, revisão de código, análise estática e testes de penetração pelo menos uma vez por ano.

  • Integridade das Atualizações (SOC 2 – Gestão de Mudanças): Todas as atualizações passam por controle formal de mudanças, testes de regressão e verificação de integridade antes do lançamento. As alterações são registradas em sistema de controle de versão com trilhas de auditoria.

4. Controle de Acesso

  • Somente pessoal autorizado pode acessar o código-fonte ou a infraestrutura de build.

  • Os acessos são revisados trimestralmente (ISO/IEC 27001 A.9.2.5).

  • Todas as ações administrativas são registradas e mantidas para fins de auditoria.

5. Gestão de Riscos de Fornecedores e Terceiros (ISO 27001 A.15)

  • Todas as bibliotecas e dependências de terceiros são rastreadas e monitoradas.

  • Boletins de segurança são revisados semanalmente, e correções são aplicadas regularmente.

  • Componentes de alto risco ou sem suporte são evitados ou isolados em sandbox.

6. Prontidão para Resposta a Incidentes (ISO 27001 A.16, SOC 2)

  • Existe um ponto de contato dedicado para relatórios de vulnerabilidades e incidentes.

  • Os incidentes seguem um processo estruturado: detecção, classificação, contenção, correção e análise de causa raiz.

  • As lições aprendidas são analisadas para melhorar as respostas futuras.

7. Responsabilidades do Cliente

  • Aplicar as atualizações de software disponibilizadas através do site oficial do DeskCamera.

  • Manter configurações seguras no sistema e restringir o acesso de rede aos endpoints do DeskCamera.

8. Conformidade e Revisão

Esta política é revisada anualmente e sempre que houver mudanças significativas no sistema ou no ambiente.

9. Contato para Questões de Segurança

Questões relacionadas à segurança podem ser enviadas para: [email protected]