Akira Sistemas › Documentos legais

Política de Segurança da Informação

Medidas técnicas e organizacionais de proteção de dados · Versão 1.1 · Vigência: 11/05/2026

01Introdução e Propósito

A AKIRA SISTEMAS LTDA ("AKIRA") tem na proteção da informação um pilar essencial da sua operação. Esta Política de Segurança da Informação descreve, de forma transparente, as medidas técnicas e organizacionais que a AKIRA aplica para proteger a confidencialidade, a integridade e a disponibilidade dos dados de seus clientes e usuários, em consonância com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e as melhores práticas de mercado.

Este documento aplica-se a todos os ambientes, sistemas, infraestrutura e pessoas envolvidas na prestação dos serviços da AKIRA, e complementa os Termos de Uso e a Política de Privacidade publicados em akiracloud.com.

02Princípios

A gestão da segurança da informação na AKIRA orienta-se pelos seguintes princípios:

  • Confidencialidade: as informações são acessíveis apenas a quem possui autorização específica para tal;
  • Integridade: as informações devem ser protegidas contra alterações indevidas, intencionais ou acidentais;
  • Disponibilidade: as informações e sistemas devem estar acessíveis sempre que necessário aos seus usuários autorizados;
  • Menor privilégio: o acesso aos sistemas e informações é concedido na medida estritamente necessária ao desempenho das funções de cada colaborador;
  • Defesa em profundidade: a segurança é construída em camadas, de modo que a falha de uma medida não comprometa o conjunto;
  • Responsabilização: todas as ações executadas nos sistemas da AKIRA são passíveis de identificação e auditoria.

03Proteção da Infraestrutura

A AKIRA mantém um conjunto de barreiras tecnológicas para proteger seus servidores e os dados neles hospedados contra ameaças externas:

3.1Firewall de rede. Toda a infraestrutura é protegida por firewall perimetral que filtra o tráfego de entrada e saída, bloqueando conexões não autorizadas e portas não utilizadas.

3.2Web Application Firewall (WAF). As aplicações web hospedadas pela AKIRA contam com um WAF dedicado à mitigação dos riscos catalogados pelo OWASP Top 10, incluindo injeção de código (SQL injection), cross-site scripting (XSS), execução remota e demais vetores comuns de ataque a aplicações web.

3.3Proteção contra ataques de negação de serviço (DDoS). A AKIRA opera mecanismos de detecção e mitigação de ataques distribuídos de negação de serviço, com o objetivo de preservar a disponibilidade dos serviços contratados pelos clientes.

3.4Proteção contra ataques de força bruta. Sistemas automatizados de detecção (incluindo soluções do tipo fail2ban) monitoram tentativas repetidas e suspeitas de autenticação, bloqueando automaticamente origens identificadas como hostis.

04Controle de Acesso

O acesso aos sistemas e aos dados da AKIRA é estritamente controlado:

4.1Política de senhas fortes. A AKIRA exige, dos seus usuários e clientes, a adoção de senhas que atendam a critérios mínimos de comprimento, de modo a dificultar tentativas de descoberta por força bruta ou dicionário. As senhas são armazenadas com função criptográfica de hash unidirecional, não sendo possível à AKIRA recuperá-las em texto claro.

4.2Autenticação em dois fatores (2FA/MFA). A AKIRA disponibiliza, aos seus clientes, a opção de habilitar autenticação em dois fatores como camada adicional de proteção contra acessos indevidos. Recomenda-se fortemente a sua ativação em todas as contas. Para contas com privilégios administrativos sobre dados de clientes, a autenticação multifator é obrigatória.

4.3Controle de acesso baseado em papéis (RBAC). Os sistemas da AKIRA implementam níveis de acesso granulares, permitindo que cada usuário tenha permissões compatíveis com suas atribuições — operador, gerente, administrador e demais perfis aplicáveis —, em observância ao princípio do menor privilégio.

4.4Bloqueio automático de contas. Após sucessivas tentativas malsucedidas de autenticação, o acesso à conta é automaticamente bloqueado, exigindo procedimento de recuperação para reativação.

4.5Expiração automática de sessões. As sessões ativas nos painéis e interfaces administrativas da AKIRA expiram automaticamente após período de inatividade, mitigando o risco de uso indevido em dispositivos desatendidos.

4.6Logs de acesso e auditoria. Todos os acessos e operações relevantes nos sistemas da AKIRA são registrados em logs com retenção de 12 meses, permitindo a apuração de eventuais incidentes e a auditoria das atividades executadas, em observância ao art. 15 do Marco Civil da Internet e ao legítimo interesse de segurança.

05Criptografia e Comunicações

A AKIRA adota medidas para proteger as informações em trânsito e categorias específicas em repouso:

5.1HTTPS/TLS obrigatório. Todas as conexões com painéis de controle, sistemas administrativos e demais interfaces da AKIRA ocorrem exclusivamente sob HTTPS, com utilização do protocolo TLS 1.2 ou superior.

5.2Certificados SSL/TLS gerenciados. A AKIRA disponibiliza, a seus clientes, a emissão e renovação automatizada de certificados SSL/TLS — incluindo, conforme o Plano contratado, certificados Let's Encrypt e certificados comerciais —, garantindo que as aplicações hospedadas possam operar sob conexão criptografada por padrão.

5.3Criptografia em repouso. Credenciais de acesso, chaves de API e dados de configuração sensíveis são criptografados em repouso. A AKIRA revisa continuamente seu modelo de criptografia em repouso, com adoção progressiva de criptografia para categorias adicionais de dados conforme cronograma interno de evolução da plataforma e mediante análise de risco específica para cada categoria.

5.4Transferência segura de arquivos. O acesso a arquivos para fins de administração e manutenção é realizado exclusivamente por protocolos cifrados, como SFTP e SSH, sendo desabilitada a utilização de FTP em texto plano.

06Operação e Monitoramento

A operação dos serviços da AKIRA é apoiada por rotinas contínuas de monitoramento e manutenção:

6.1Monitoramento de disponibilidade 24/7. Os servidores e serviços críticos da AKIRA são monitorados de forma contínua, em regime de 24 horas por dia, 7 dias por semana, quanto à sua disponibilidade.

6.2Logs centralizados. Eventos de sistema, acessos e operações relevantes são consolidados em sistemas centralizados de log, permitindo análise correlacionada e investigação de incidentes.

6.3Alertas automáticos. Indicadores como utilização de CPU, memória, tráfego de rede e demais métricas operacionais são acompanhados por sistemas de alerta automatizado, que notificam a equipe responsável diante de anomalias.

6.4Atualizações de segurança. Os sistemas operacionais e softwares utilizados na infraestrutura da AKIRA recebem atualizações de segurança (patches) de forma regular, com priorização de correções classificadas como críticas pelos respectivos fabricantes.

6.5Segregação de ambientes. Os ambientes de produção, desenvolvimento e testes são logicamente segregados, prevenindo que alterações em ambientes não produtivos afetem os serviços efetivamente entregues aos clientes.

07Cópias de Segurança (Backup)

7.1Estratégia multicamada. A AKIRA mantém cópias de segurança em três camadas complementares, com retenção de 14 (catorze) dias em cada camada:

  • Camada 1 — Curto prazo na infraestrutura de produção: cópias mantidas no próprio ambiente de produção, possibilitando restauração rápida;
  • Camada 2 — Provedor dedicado de backup em nuvem: cópias replicadas para provedor especializado de armazenamento em nuvem (Backblaze B2), fisicamente segregado da infraestrutura de produção;
  • Camada 3 — Infraestrutura própria em território brasileiro: cópias mantidas em servidores de propriedade da AKIRA localizados no Brasil, assegurando soberania e disponibilidade das cópias independentemente de provedores externos.

7.2Proteção das cópias. As cópias de segurança são protegidas por controles de acesso restritivos, criptografia em trânsito e em repouso, e registro de auditoria de acessos. O acesso aos backups é limitado a pessoal autorizado da AKIRA.

7.3Localização e soberania. A estratégia multicamada garante que ao menos uma cópia dos dados esteja sempre localizada em território brasileiro, em conformidade com os princípios de soberania de dados e com os requisitos aplicáveis da LGPD.

7.4Testes de restauração. A AKIRA realiza periodicamente testes de restauração a partir das cópias de segurança, verificando a integridade e a efetividade do processo. A utilização do backup constitui prerrogativa exclusiva da AKIRA, destinada à restauração de dados eventualmente perdidos por falha na prestação do serviço; o cliente não possui direito subjetivo ao fornecimento de cópias.

7.5Modalidades por sistema. Conforme a natureza da aplicação, os backups são executados da seguinte forma:

  • Hospedagem compartilhada: o backup é executado de forma integral e indivisível para todo o ambiente, sem segregação por cliente, sendo utilizado exclusivamente para restauração geral em caso de falha na prestação do serviço;
  • ERP e demais sistemas de gestão: o backup é gerado de forma segregada por cliente (por instalação), possibilitando, a critério exclusivo da AKIRA, a recuperação granular de dados.

7.6Encerramento contratual. Encerrada a relação contratual — seja por cancelamento, inadimplência ou rescisão —, os dados poderão ser excluídos de forma definitiva e irrecuperável observando o ciclo de 45 dias previsto nos Termos de Uso, após o qual todas as camadas de backup associadas ao cliente serão também eliminadas.

08Segurança da Equipe Interna

A segurança da informação depende, em grande medida, das pessoas que operam os sistemas. A AKIRA adota as seguintes medidas em relação a seus colaboradores e prestadores de serviço:

8.1Acordo de confidencialidade (NDA). Todos os colaboradores e prestadores de serviços com acesso a informações sensíveis firmam acordo de confidencialidade, estabelecendo obrigações de sigilo que persistem mesmo após o término do vínculo.

8.2Princípio do menor privilégio. O acesso aos sistemas é concedido a cada colaborador estritamente na medida necessária ao desempenho de suas funções, sendo periodicamente revisado.

8.3Treinamento e conscientização. A equipe da AKIRA recebe orientação periódica sobre segurança da informação, abrangendo, entre outros temas, identificação de tentativas de phishing, proteção de credenciais e tratamento adequado de dados pessoais.

8.4Revogação de acessos. No desligamento de qualquer colaborador ou prestador, os acessos a sistemas, contas e demais recursos da AKIRA são imediatamente revogados.

8.5Uso de credenciais e dispositivos. A AKIRA mantém regras internas claras sobre o uso de senhas, dispositivos e equipamentos, vedado o compartilhamento de credenciais e exigida a observância de práticas mínimas de proteção dos dispositivos utilizados no exercício das atividades.

09Proteção de Dados Pessoais — LGPD

9.1Encarregado pelo Tratamento de Dados Pessoais (DPO). A AKIRA designou Encarregado pelo Tratamento de Dados Pessoais, conforme exige o art. 41 da LGPD, responsável por receber comunicações de titulares e da Autoridade Nacional de Proteção de Dados (ANPD), bem como por orientar a organização quanto às práticas de proteção de dados.

9.2Canal de contato do Encarregado. O Encarregado pode ser contatado pelo e-mail [email protected].

9.3Tratamento de dados pessoais. O detalhamento sobre quais dados pessoais são coletados, com qual finalidade, por quanto tempo e com quem são compartilhados consta da Política de Privacidade da AKIRA, disponível em akiracloud.com.

9.4Direitos dos titulares. A AKIRA assegura aos titulares de dados pessoais o exercício dos direitos previstos no art. 18 da LGPD, incluindo acesso, correção, anonimização, portabilidade e eliminação, mediante solicitação ao Encarregado.

9.5Registro das Operações de Tratamento (ROPA). A AKIRA mantém Registro das Operações de Tratamento de Dados Pessoais (ROPA), documentando as atividades de tratamento realizadas como Controladora e como Operadora, em conformidade com o art. 37 da LGPD e as orientações da ANPD. O ROPA é documento interno de gestão de privacidade, podendo ser apresentado à ANPD quando solicitado.

9.6Obrigações legais em caso de incidente. Havendo incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos titulares, a AKIRA observará as obrigações estabelecidas pelo art. 48 da LGPD e pela Resolução CD/ANPD nº 15/2024, incluindo a comunicação à ANPD e aos titulares afetados no prazo de 3 (três) dias úteis contados do conhecimento do incidente.

10Resposta a Incidentes e Divulgação Responsável

10.1Comunicação a clientes afetados. Identificado um incidente de segurança que afete clientes da AKIRA, estes serão comunicados pelos canais de contato cadastrados, com informações sobre a natureza do evento, os dados envolvidos e as medidas adotadas para sua contenção e remediação.

10.2Canal para reporte de vulnerabilidades. A AKIRA adota postura colaborativa com a comunidade de segurança e disponibiliza canal específico para o recebimento de comunicações sobre vulnerabilidades eventualmente identificadas em seus sistemas. Pesquisadores, clientes e terceiros podem reportar achados pelo e-mail [email protected].

10.3A AKIRA compromete-se a analisar tempestivamente as comunicações recebidas pelo canal acima e a tratar com confidencialidade as informações fornecidas, observando boas práticas de divulgação responsável.

11Responsabilidades do Cliente

A segurança da informação é uma responsabilidade compartilhada. Sem prejuízo das medidas adotadas pela AKIRA, cabe ao cliente:

  • Manter sob sigilo suas credenciais de acesso, sendo responsável por todas as ações praticadas a partir delas;
  • Habilitar a autenticação em dois fatores (2FA), sempre que disponível;
  • Manter atualizadas as aplicações, scripts, plugins e demais componentes de sua responsabilidade hospedados na AKIRA;
  • Realizar e manter cópias de segurança próprias dos seus dados, nos termos do contrato;
  • Comunicar imediatamente à AKIRA qualquer indício de uso indevido, comprometimento de credenciais ou outro evento suspeito relacionado à sua conta.

12Revisão e Atualização

12.1Esta Política é revisada periodicamente pela AKIRA, sempre que houver alterações relevantes em sua infraestrutura, em sua operação ou no cenário regulatório aplicável.

12.2A versão vigente desta Política está sempre disponível em akiracloud.com, prevalecendo a redação ali publicada sobre quaisquer versões anteriores.

12.3Histórico de versões:

Versão Data de vigência Principais alterações
1.0 29/04/2026 Versão inicial.
1.1 11/05/2026 Armazenamento de senhas por hash unidirecional (cláusula 4.1); MFA obrigatório para contas administrativas (cláusula 4.2); retenção de logs atualizada para 12 meses (cláusula 4.6); adição de cláusula de criptografia em repouso e renumeração para 5.3/5.4 (cláusula 5.3); TLS 1.2 explicitado (cláusula 5.1); seção de backup completamente reescrita — estratégia multicamada com retenção de 14 dias e cópia em território brasileiro (cláusulas 7.1 a 7.6); adição de cláusula ROPA (cláusula 9.5); comunicação de incidentes atualizada para Resolução CD/ANPD nº 15/2024 e prazo de 3 dias úteis (cláusula 9.6).

13Contato

Dúvidas, solicitações e comunicações relacionadas a esta Política podem ser direcionadas aos seguintes canais:

Rio de Janeiro/RJ, 11 de maio de 2026.