Declaração de Segurança

Esta Declaração de Segurança descreve as medidas técnicas e organizacionais que a Kapsule Group Limited ("Kapsule Cloud") implementa para proteger os dados alojados na nossa plataforma. É referenciada pelo Acordo de Processamento de Dados e é atualizada periodicamente para refletir melhorias na nossa postura de segurança.

O nosso princípio fundamental é defesa em profundidade: implementamos múltiplos controlos independentes em camadas para que nenhuma falha isolada exponha os dados dos clientes.

Mantemos políticas documentadas de segurança da informação e privacidade, revistas pelo menos anualmente e atualizadas quando alterações significativas à plataforma ou ao cenário de ameaças o exigem.

Um Responsável de Privacidade designado é responsável pela conformidade com a proteção de dados. As responsabilidades de segurança são atribuídas a indivíduos nomeados na equipa de infraestrutura.

Todo o pessoal recebe formação em privacidade e segurança na admissão e anualmente thereafter. O pessoal com acesso aos sistemas de produção está sujeito a verificações de antecedentes quando permitido pela lei.

Os incidentes de segurança e quase-acidentes são registados, revistos e utilizados para melhorar os controlos de forma contínua.

O acesso aos sistemas de produção e dados dos clientes é regido por controles de acesso rigorosos baseados em funções, construídos segundo princípios de privilégio mínimo: o pessoal recebe apenas o acesso necessário para desempenhar sua função específica.

A autenticação obrigatória de dois fatores (2FA) é aplicada para todo o pessoal com acesso à infraestrutura de produção, ao painel de controle de hospedagem, ao código-fonte e às consolas do fornecedor de nuvem.

Os direitos de acesso são revistos periodicamente e revogados imediatamente em caso de mudança de função ou saída. Os eventos de acesso e escalações de privilégio são registados.

Os ambientes de produção e não-produção são rigorosamente separados. Os ambientes dos clientes são logicamente isolados uns dos outros dentro da plataforma de hospedagem.

Todo o acesso administrativo aos servidores de produção é autenticado através de pares de chaves SSH; a autenticação SSH baseada em password está desativada.

Todos os dados em trânsito entre clientes e a nossa plataforma são encriptados utilizando TLS 1.2 ou superior. Os certificados TLS são emitidos automaticamente e renovados antes do vencimento.

As cópias de segurança fora do local são encriptadas utilizando restic com AES-256. As chaves de encriptação são armazenadas separadamente dos dados de cópia de segurança e são copiadas offline. A perda da chave torna os dados de cópia de segurança irrecuperáveis, razão pela qual as chaves são mantidas em múltiplos locais seguros offline.

As cópias de segurança encriptadas são armazenadas no armazenamento de objetos Cloudflare R2, região Oceania, proporcionando separação geográfica da nossa infraestrutura primária Hetzner.

Os dados sensíveis da plataforma (incluindo segredos, chaves API e credenciais) são armazenados em sistemas dedicados de gestão de segredos e nunca são incorporados no código fonte ou ficheiros de configuração verificados no controlo de versão.

Os serviços expostos aos clientes são protegidos pela firewall de aplicação web (WAF) da Cloudflare e pela mitigação de DDoS, que absorvem ataques volumétricos e de camada de aplicação antes de chegarem à nossa infraestrutura.

Os ambientes de hospedagem dos clientes são segmentados em rede: cada site é executado num contexto isolado e não consegue aceder aos dados de outros clientes na camada de rede.

Os sistemas operativos, software de plataforma e dependências de aplicação são atualizados regularmente. As correções críticas de segurança são aplicadas no prazo de 24-72 horas após o lançamento. A infraestrutura exposta à Internet é verificada regularmente quanto a vulnerabilidades conhecidas.

As regras de firewall restringem o acesso de entrada ao mínimo de portas e serviços necessários. Os serviços desnecessários são desativados por predefinição.

Testes de penetração periódicos são realizados por testadores qualificados independentes. As conclusões materiais são remediadas e retestadas.

Os eventos de acesso, alterações de configuração, tentativas de autenticação e eventos do sistema relevantes para a segurança são registados num sistema de registo centralizado. Os registos são retidos por um período mínimo de 90 dias.

A saúde da plataforma e os sinais de segurança são monitorizados 24x7. Os alertas são encaminhados para pessoal de plantão para investigação imediata.

Mantemos um plano de resposta a incidentes documentado com níveis de gravidade definidos, percursos de escalação e procedimentos de comunicação. O plano é revisto e testado pelo menos anualmente.

Na eventualidade de uma Violação de Privacidade Notificável confirmada que afete Informações Pessoais do Cliente, notificaremos os clientes afetados dentro de 72 horas após tomarmos conhecimento, conforme exigido pela Privacy Act 2020 e pelo Data Processing Agreement.

Sentry é utilizado para rastreamento de erros em tempo real e monitorização do desempenho das aplicações em toda a stack da plataforma.

Os ficheiros do site do cliente, bases de dados e dados de correio eletrónico são copiados diariamente para Cloudflare R2 (região Oceânia) utilizando restic. As cópias de segurança são encriptadas em repouso com AES-256.

A retenção de cópias de segurança é um mínimo de 30 dias em todos os planos pagos. Os planos superiores incluem snapshots adicionais semanais e mensais. Consulte o Acordo de Nível de Serviço para detalhes de retenção específicos do plano.

Os procedimentos de restauro estão documentados nos nossos runbooks internos e são testados periodicamente. A equipa de plataforma realiza exercícios de restauro para validar a integridade das cópias de segurança.

A base de código da plataforma Kapsule Cloud (incluindo scripts de configuração e provisionamento) é copiada diariamente para repositórios GitHub privados na organização kapsulenz, fornecendo um caminho de recuperação independente para a própria plataforma.

Os procedimentos de recuperação após desastres para cada componente de infraestrutura (servidor de alojamento, servidor de correio, portal) estão documentados com tempos de recuperação alvo de 2-4 horas consoante o componente e o tamanho dos dados.

Todo o pessoal com acesso a dados de clientes está vinculado por obrigações de confidencialidade, seja por contrato ou por lei.

Mantemos acordos escritos de processamento de dados com todos os sub-processadores. Estes acordos exigem que os sub-processadores implementem proteções não menos protetoras do que as contidas no nosso Acordo de Processamento de Dados, incluindo obrigações de confidencialidade, segurança e processamento limitado ao fim específico.

A nossa lista de sub-processadores é revista pelo menos anualmente quanto à sua adequação contínua. Os sub-processadores são avaliados em relação aos nossos requisitos mínimos de segurança antes do seu envolvimento.

A lista atual de sub-processadores é publicada em kapsulecloud.com/legal/sub-processors.

Os servidores de produção são operados nos centros de dados Hetzner na Alemanha. As instalações Hetzner são classificadas como Tier III ou equivalente e disponibilizam: acesso físico controlado com autenticação multifator nos pontos de entrada; pessoal de segurança no local 24x7; energia redundante (UPS e geradores diesel); sistemas de arrefecimento redundantes; detecção e supressão de incêndios.

O acesso físico ao hardware do servidor é restrito ao pessoal autorizado da Hetzner. O pessoal da Kapsule Cloud não tem acesso físico rotineiro ao hardware de produção; todo o acesso administrativo é realizado remotamente através de canais encriptados.

Os meios de armazenamento desativados são apagados ou destruídos de forma segura de acordo com os procedimentos do centro de dados Hetzner antes da reutilização ou eliminação.

Seguimos um ciclo de vida seguro de desenvolvimento de software. Todas as alterações de código em produção requerem revisão obrigatória de código por pares antes da implementação. A análise automatizada de dependências é executada em cada compilação para identificar vulnerabilidades conhecidas em pacotes de terceiros.

Os segredos são gerenciados usando um sistema dedicado de gestão de segredos. Nenhuma credencial, chave API ou valores de configuração sensível são confirmados em repositórios de código-fonte.

Os testes de pré-lançamento incluem execuções de testes funcionais, de regressão e focados em segurança. As alterações aos fluxos de autenticação, pagamento ou manipulação de dados recebem escrutínio adicional.

A entrada direcionada ao cliente é validada e desinfectada em todos os limites da aplicação. Aplicamos defesas padrão contra riscos do OWASP Top 10, incluindo injeção SQL, cross-site scripting e falsificação de pedido entre sites.

Autenticação KPanel: as senhas são codificadas com Argon2id (resistente à memória, resistente à quebra por GPU). As novas senhas são verificadas contra a base de dados Have I Been Pwned através de consulta de prefixo k-anónima antes da aceitação. O início de sessão suporta autenticação de dois fatores baseada em TOTP, códigos únicos por SMS e chaves de segurança de hardware (WebAuthn/FIDO2). O início de sessão OAuth é suportado via Google, GitHub e Apple Sign In, cada um verificado contra o ponto final JWKS do fornecedor. O início de sessão por ligação mágica por e-mail é limitado a três pedidos por hora por endereço e está disponível como método de recuperação. Os tokens de sessão são criptograficamente aleatórios, armazenados em hash na base de dados e expiram após 30 dias de inatividade.

Os dados dos clientes são logicamente segregados nas camadas de alojamento, base de dados e aplicação. Os ficheiros, bases de dados e contas de email de cada cliente são isolados em contas de sistema separadas, sem acesso entre clientes.

Quando um cliente termina o seu serviço, as Informações Pessoais do Cliente são disponibilizadas para exportação durante 30 dias e depois eliminadas permanentemente dos sistemas ativos. As cópias de segurança encriptadas são purgadas no próximo ciclo de rotação programado, dentro de 30 dias após a eliminação dos sistemas ativos.

Os procedimentos documentados de eliminação de dados asseguram que os dados são removidos de todos os sistemas relevantes, incluindo bases de dados ativas, caches e armazenamento de aplicação, não apenas do armazenamento de dados primário.

Os procedimentos para o tratamento de pedidos de Titulares de Dados (acesso, correção, eliminação) são documentados e testados. As ferramentas de exportação do KPanel permitem que os clientes recuperem os seus dados a qualquer momento durante o período de vigência do serviço.

Se tiver perguntas sobre as nossas práticas de segurança ou deseje comunicar uma vulnerabilidade suspeita, contacte-nos em [email protected].

Kapsule Group Limited, Christchurch, New Zealand.