Atmo Digital — Políticas e Conformidade

1. Escopo

Aplica-se a sistemas operacionais, aplicações (backend/frontend), bibliotecas, contêineres, imagens, serviços de nuvem (IaaS/PaaS) e ativos de rede sob responsabilidade da Atmo Digital.

2. Referências

• Política de Segurança da Informação (PSI)
• Política de Governança de Dados
• Plano de Recuperação de Desastres (PRD)
• Boas práticas: ISO/IEC 27001/27002, NIST CSF, OWASP ASVS/SAMM

3. Fontes de Ameaças

• Feeds e boletins: NVD/CVE, CERT.br, Microsoft Security, fornecedores de SO e nuvem.
• Alertas automáticos de repositórios (Dependabot) e scanners de contêiner/imagem.

4. Classificação e SLAs (CVSS Base)

Severidade	Exemplos	SLA para correção
Crítica (≥9.0)	Execução remota, exploração ativa	≤ 72 horas (mitigação imediata quando necessário)
Alta (7.0–8.9)	Elevação de privilégio, exposição sensível	≤ 7 dias
Média (4.0–6.9)	Impacto limitado ou requer condições específicas	≤ 30 dias
Baixa (≤3.9)	Impacto mínimo	≤ 90 dias

Exceções documentadas exigem justificativa técnica, compensações de risco e aprovação do responsável de Segurança/CTO.

5. Processo VM/PM

1. Identificar — ingestão de avisos, scans agendados e resultados de pipelines.
2. Priorizar — avaliar CVSS, exposição, exploração ativa e criticidade do ativo.
3. Planejar — criar ticket de mudança com plano de correção/mitigação e rollback.
4. Executar — aplicar patch/upgrade, alterar configuração, ou mitigar temporariamente.
5. Validar — reteste (scan/reteste de pentest), monitoramento e encerramento formal.

6. Ferramentas

• Sistemas operacionais: Windows Update/Defender; Linux unattended-upgrades, dnf/yum.
• Aplicações/Dependências: GitHub Actions + Dependabot / npm audit.
• Contêineres/Imagens: Trivy (CI) e política de base images atualizadas.
• Vulnerability Scanning: OpenVAS/Greenbone CE para hosts e serviços.
• Inventário/CMDB leve: repositórios e IaC; etiquetas por ambiente.

7. Cadência

• Scans programados: trimestrais em hosts/serviços; sob demanda após mudanças relevantes.
• Pentest: anual ou quando exigido contratualmente/por grande alteração arquitetural.
• Atualizações: críticas/altas conforme SLA; revisão semanal dos demais patches.

8. Papéis e Responsabilidades

• CTO: aprova política e exceções; garante orçamento/recursos.
• DevOps/SRE: aplica patches em SO/infra; opera scanners; mantém evidências.
• Engenharia: corrige vulnerabilidades de código/dependências; valida em QA.
• Segurança (função acumulada): prioriza, acompanha SLAs e comunica riscos.

9. Evidências e Auditoria

• Relatórios de scan (OpenVAS/Trivy) com baseline e histórico de achados.
• Logs de pipeline (build/test/scan/deploy) e PRs com correções.
• Relatórios/Laudos de Pentest com dados sensíveis anonimizados.
• Registros de mudança e aprovação, incluindo janelas e plano de rollback.

10. Indicadores (KPIs)

11. Resposta a Incidentes

Eventos de segurança decorrentes de vulnerabilidades seguem o processo de resposta descrito na PSI: detecção, análise, contenção, erradicação, recuperação e post-mortem.

RESUMO

A Atmo Digital implementa gestão de patches e vulnerabilidades com monitoramento de feeds oficiais, classificação via CVSS e SLAs (Críticas ≤72h, Altas ≤7d, Médias ≤30d, Baixas ≤90d). Realizamos varreduras trimestrais (OpenVAS/Greenbone), varredura de imagens (Trivy) e auditoria de dependências nos pipelines (Dependabot/npm audit). Executamos pentest anual ou sob demanda. Evidências: relatórios de scan, laudos de pentest, tickets/PRs e logs de pipeline. Procedimentos e resposta a incidentes estão definidos na PSI e neste documento.

Documentação comprobatória sugerida

• Sumário executivo do último relatório de vulnerabilidades (anonimizado);
• Laudo de pentest (quando aplicável), com dados sensíveis ocultos;
• Export do Dependabot/npm audit e registros de mudança.

Proprietário: CTO — Atmo Digital
Periodicidade de revisão: anual ou mediante alterações significativas.