Política de Segurança da Informação (PSI) — Versão Pública

1. Introdução

A ConformiDoc adota práticas e controles de Segurança da Informação com o objetivo de proteger dados, operações e infraestrutura utilizados na prestação de serviços aos Clientes.

Esta Política de Segurança da Informação (“PSI”) é uma versão pública, contendo diretrizes gerais. Informações técnicas detalhadas, configurações e controles específicos não são divulgados por razões de segurança.

2. Princípios

A Segurança da Informação na ConformiDoc baseia-se nos seguintes princípios:

• Confidencialidade: acesso apenas por pessoas autorizadas;

• Integridade: preservação da exatidão e completude das informações;

• Disponibilidade: esforço para que sistemas e dados estejam acessíveis quando necessários;

• Responsabilidade Compartilhada: Cliente e ConformiDoc possuem deveres complementares na proteção das informações.

3. Controles gerais adotados

A ConformiDoc aplica, de forma proporcional ao risco e à natureza dos dados tratados, controles como:

• autenticação e controle de acesso a sistemas;

• segregação de ambientes (produção, testes, homologação);

• criptografia em repouso e/ou trânsito, quando aplicável;

• registro de logs e monitoramento de eventos relevantes;

• políticas internas de senhas, perfis de acesso e uso aceitável;

• procedimentos de atualização e correção de vulnerabilidades;

• processos internos de resposta a incidentes de segurança da informação.

• isolamento lógico por Cliente (instância dedicada), com segregação por Cliente;

• trilhas de auditoria e retenção de logs de segurança e de ações relevantes por prazo limitado (em regra, até 6 meses), conforme políticas aplicáveis;

• acesso excepcional para fins de suporte e diagnóstico, quando necessário, com justificativa, limitação de escopo e registro;

• minimização e sanitização de dados antes de eventual uso de modelos de linguagem (LLM), priorizando dados derivados e evitando o envio de extratos OFX brutos.

4. Responsabilidade compartilhada

4.1. A ConformiDoc é responsável pela proteção da infraestrutura sob sua gestão direta e pelos dados tratados na Plataforma, nos termos dos contratos e da legislação vigente.

4.2. O Cliente é responsável, entre outros aspectos, por:

• gerenciar adequadamente usuários e perfis de acesso na Plataforma;

• manter dispositivos, redes internas e navegadores seguros e atualizados;

• definir e executar rotinas próprias de backup e retenção de dados considerados críticos;

• utilizar a Plataforma de forma compatível com a legislação e com os Termos de Uso;

• revisar criticamente resultados gerados por recursos de IA antes de utilizá-los em decisões de negócio ou atos formais.

• não depender da Plataforma como repositório definitivo, mantendo rotinas próprias de backup e retenção do conteúdo considerado crítico.

5. Incidentes de segurança

Em caso de incidentes relevantes que envolvam dados sob responsabilidade da ConformiDoc:

• a empresa seguirá processo interno de resposta a incidentes, que inclui identificação, contenção, análise de causa e definição de medidas de mitigação;

• quando envolver dados pessoais e houver risco ou dano relevante a titulares, serão observadas as obrigações de comunicação ao Cliente e, quando aplicável, à ANPD e demais autoridades, nos termos da legislação.

6. Treinamento e conscientização

A ConformiDoc promove, de forma contínua, ações de conscientização e treinamento interno sobre Segurança da Informação e Proteção de Dados, com foco em colaboradores e prestadores diretamente envolvidos com o tratamento de dados e operação da Plataforma.

7. Atualizações desta Política

Esta PSI poderá ser atualizada para refletir mudanças legislativas, tecnológicas ou organizacionais.

A versão vigente estará disponível em canais oficiais da ConformiDoc.