Atmo Digital — Information Security Policy

Atmo Digital — Política de Segurança da Informação

Public

1. Purpose

This policy defines Atmo Digital's approach to protecting information assets against unauthorized access, disclosure, alteration, and destruction, supporting confidentiality, integrity, and availability across our services.

2. Scope

Applies to all employees, contractors, systems, and services handling company or customer data, including production, staging, development, and backups.

3. Roles & Responsibilities

  • CTO — Leads information security, risk management, and policy enforcement.
  • System Owners — Ensure security controls are implemented within their domains.
  • All Personnel — Follow security policies, report incidents, and complete training.

4. Access Control

  • RBAC and least privilege; periodic access reviews and timely revocation.
  • Strong authentication and secure credential management; MFA where supported.

5. Asset & Data Management

  • Asset inventory and data classification (Public, Internal, Confidential).
  • Retention and disposal aligned with regulatory and contractual obligations.

6. Secure Development & Change Management

  • Secure SDLC, code reviews, dependency updates, and OWASP-aligned practices.
  • Separate environments; changes tracked and approved prior to deployment.

7. Vulnerability & Patch Management

  • Regular scanning, prioritized remediation, and verification of fixes.
  • Patch cadence aligned to risk; emergency patching for critical issues.

8. Cryptography

  • Encryption in transit (TLS 1.2+) and at rest for sensitive data.
  • Key management with restricted access and rotation practices.

9. Logging & Monitoring

  • Security-relevant events are logged and monitored; time-synced systems.
  • Retention as per legal and contractual requirements.

10. Backup & Business Continuity

  • Regular backups of critical systems and data; tested restore procedures.
  • Documented DR measures and RTO/RPO objectives where applicable.

11. Incident Response

  • Defined process to detect, contain, eradicate, recover, and review incidents.
  • Customer notification aligned with contractual and legal requirements.

12. Third-Party & Vendor Management

  • Security requirements included in contracts; risk-based due diligence.
  • Access to customer data minimized and monitored.

13. Compliance & Standards

We are not formally certified under frameworks such as ISO/IEC 27001. However, our practices are aligned with recognized standards and best practices, including ISO/IEC 27001 principles, the NIST Cybersecurity Framework, CIS Controls, and OWASP guidance for secure development.

14. Training & Awareness

All personnel receive onboarding and periodic training on security responsibilities and best practices.

15. Review & Maintenance

This policy is reviewed at least annually and updated to reflect changes in risk, technology, and regulation.

1. Propósito

Esta política define a abordagem da Atmo Digital para proteger ativos de informação contra acesso, divulgação, alteração e destruição não autorizados, sustentando confidencialidade, integridade e disponibilidade em nossos serviços.

2. Escopo

Aplica-se a todos os colaboradores, contratados, sistemas e serviços que tratem dados da empresa ou de clientes, incluindo ambientes de produção, homologação, desenvolvimento e backups.

3. Papéis & Responsabilidades

  • CTO — Lidera segurança da informação, gestão de riscos e aplicação desta política.
  • Responsáveis por Sistemas — Garantem a implementação de controles em seus domínios.
  • Todos — Seguem as políticas, reportam incidentes e concluem os treinamentos.

4. Controle de Acesso

  • RBAC e menor privilégio; revisões periódicas e revogação oportuna de acessos.
  • Autenticação forte e gestão segura de credenciais; MFA quando suportado.

5. Gestão de Ativos & Dados

  • Inventário de ativos e classificação de dados (Público, Interno, Confidencial).
  • Retenção e descarte alinhados a obrigações regulatórias e contratuais.

6. Desenvolvimento Seguro & Gestão de Mudanças

  • SDLC seguro, revisão de código, atualização de dependências e práticas alinhadas ao OWASP.
  • Ambientes segregados; mudanças rastreadas e aprovadas antes da publicação.

7. Vulnerabilidades & Patches

  • Varreduras regulares, correção priorizada e verificação das correções.
  • Ritmo de patches orientado a risco; correções emergenciais para issues críticas.

8. Criptografia

  • Criptografia em trânsito (TLS 1.2+) e em repouso para dados sensíveis.
  • Gestão de chaves com acesso restrito e práticas de rotação.

9. Logs & Monitoramento

  • Eventos relevantes de segurança são registrados e monitorados; sistemas com horário sincronizado.
  • Retenção conforme requisitos legais e contratuais.

10. Backup & Continuidade

  • Backups regulares de sistemas e dados críticos; procedimentos de restauração testados.
  • Medidas de DR documentadas e objetivos de RTO/RPO quando aplicável.

11. Resposta a Incidentes

  • Processo definido para detectar, conter, erradicar, recuperar e revisar incidentes.
  • Notificação a clientes conforme requisitos contratuais e legais.

12. Terceiros & Fornecedores

  • Requisitos de segurança em contratos; due diligence baseada em risco.
  • Acesso a dados de clientes minimizado e monitorado.

13. Conformidade & Padrões

Não possuímos certificação formal (por exemplo, ISO/IEC 27001). Entretanto, nossas práticas estão alinhadas a padrões e melhores práticas reconhecidas, incluindo princípios da ISO/IEC 27001, o NIST Cybersecurity Framework, os Controles CIS e as diretrizes OWASP para desenvolvimento seguro.

14. Treinamento & Conscientização

Todos recebem treinamento de integração e reciclagens periódicas sobre responsabilidades e boas práticas de segurança.

15. Revisão & Manutenção

Esta política é revisada ao menos anualmente e atualizada para refletir mudanças de risco, tecnologia e regulação.

© Atmo Digital. All rights reserved.