Política de
Cibersegurança

1. O nosso compromisso com a segurança

A GreenCode desenvolve software para empresas em seis países. A segurança não é um add-on — é um requisito de engenharia integrado em cada fase do ciclo de desenvolvimento. Proteger os dados dos nossos clientes, a integridade dos sistemas que construímos e a confidencialidade das informações que tratamos é uma responsabilidade que assumimos a sério.

Esta política descreve as práticas, controlos e procedimentos que implementamos para garantir a segurança dos nossos sistemas e dos sistemas que desenvolvemos para clientes.

2. Segurança de infraestrutura

Alojamento e cloud

• Os nossos sistemas e os dos clientes são alojados em fornecedores cloud com certificações de segurança reconhecidas (AWS, Google Cloud, Azure) que garantem segurança física, redundância e disponibilidade.
• Todas as comunicações são encriptadas em trânsito via TLS 1.2 ou superior. O acesso não encriptado (HTTP) é automaticamente redirecionado para HTTPS.
• Os dados em repouso são encriptados com AES-256 ou equivalente.
• Os ambientes de produção, staging e desenvolvimento são isolados entre si, sem partilha de credenciais ou dados reais de clientes em ambientes de teste.

Redes e perímetro

• Firewalls e grupos de segurança restringem o acesso aos serviços apenas às origens necessárias, seguindo o princípio do menor privilégio.
• Portas e serviços não necessários são desactivados por defeito.
• Monitorização contínua de tráfego de rede para detecção de anomalias e padrões suspeitos.
• Backups automáticos e regulares, com testes periódicos de restauro para garantir a recuperação em caso de incidente.

Disponibilidade e continuidade

• Arquitecturas com redundância e balanceamento de carga para minimizar pontos únicos de falha.
• Plano de continuidade de negócio documentado, com procedimentos de recuperação de desastre (DRP) definidos e testados.
• Objectivos de tempo de recuperação (RTO) e ponto de recuperação (RPO) definidos por nível de criticidade do sistema.

3. Protecção dos dados dos clientes

Os dados que os clientes nos confiam — sejam dados de utilizadores finais, dados de negócio ou propriedade intelectual — são tratados com o máximo rigor:

• Isolamento de dados: cada cliente tem os seus dados isolados dos de outros clientes, em bases de dados ou schemas separados conforme aplicável.
• Minimização: recolhemos e armazenamos apenas os dados estritamente necessários para a prestação dos serviços contratados.
• Anonimização em desenvolvimento: ambientes de desenvolvimento e teste utilizam dados sintéticos ou anonimizados — nunca dados reais de produção.
• Acordos de confidencialidade: todos os contratos com clientes incluem cláusulas de confidencialidade. Todos os colaboradores e subcontratantes assinam NDAs antes de acederem a qualquer dado de cliente.
• Portabilidade e eliminação: a pedido do cliente, fornecemos os dados num formato portável e procedemos à eliminação completa dos mesmos dos nossos sistemas, nos prazos acordados.

4. Controlo de acessos

Princípio do menor privilégio

Cada colaborador e sistema tem acesso apenas aos recursos estritamente necessários para a sua função. Os acessos são revistos trimestralmente e revogados imediatamente quando um colaborador muda de função ou sai da empresa.

Autenticação

• Autenticação multifactor (MFA) obrigatória para todos os sistemas internos, serviços cloud e ferramentas de desenvolvimento.
• Passwords geridas através de gestores de passwords corporativos — é proibida a reutilização ou partilha de credenciais.
• Chaves SSH utilizadas em substituição de passwords para acesso a servidores; rotação periódica de chaves e certificados.
• Sessões com timeout automático em sistemas sensíveis.

Acesso privilegiado

• Acesso de administrador a sistemas de produção é restrito, auditado e requer aprovação.
• Todos os acessos a sistemas críticos são registados em logs de auditoria imutáveis.
• Acesso remoto a sistemas internos apenas via VPN com MFA.

5. Desenvolvimento seguro (Secure SDLC)

A segurança é integrada em todo o ciclo de desenvolvimento de software, não tratada como uma fase separada:

Design e arquitectura

• Modelação de ameaças (threat modelling) nas fases de design de novas funcionalidades e sistemas.
• Revisão de arquitectura de segurança antes do início do desenvolvimento em projectos de maior envergadura.
• Seguimos as directrizes OWASP Top 10 como baseline mínimo para todos os projectos web e mobile.

Desenvolvimento e revisão de código

• Code review obrigatório por pares antes de qualquer merge para branches principais.
• Análise estática de código (SAST) integrada no pipeline CI/CD para detecção automática de vulnerabilidades comuns.
• Verificação automática de dependências com ferramentas de análise de composição (SCA) para identificar bibliotecas com vulnerabilidades conhecidas.
• Secrets e credenciais nunca são armazenados em repositórios de código — utilizamos gestores de segredos dedicados.

Testes de segurança

• Testes de penetração (pentests) realizados em projectos críticos antes do lançamento e periodicamente em produção.
• Testes de segurança automatizados (DAST) em ambientes de staging.
• Revisão de segurança específica antes de cada release major.

Gestão de dependências

• Dependências mantidas actualizadas com patches de segurança aplicados de forma prioritária.
• Monitorização contínua de CVEs (Common Vulnerabilities and Exposures) relevantes para as stacks utilizadas.

6. Segurança da equipa

• Formação obrigatória: todos os colaboradores recebem formação em cibersegurança e protecção de dados no início da sua actividade e anualmente.
• Simulações de phishing: realizamos exercícios regulares de simulação de ataques de phishing para avaliar e reforçar a consciencialização da equipa.
• Dispositivos geridos: os dispositivos utilizados para trabalho são geridos centralmente com políticas de segurança (encriptação de disco, actualizações automáticas, antivírus).
• Política de ecrã limpo e secretária limpa: informação confidencial não é deixada exposta em espaços físicos partilhados.
• Background checks: verificações de antecedentes realizadas no processo de admissão de novos colaboradores com acesso a dados sensíveis, em conformidade com a lei aplicável.
• Offboarding seguro: todos os acessos são revogados e equipamentos recuperados no dia em que um colaborador deixa a empresa.

7. Resposta a incidentes de segurança

Temos um plano de resposta a incidentes documentado que cobre detecção, contenção, erradicação, recuperação e análise post-mortem:

Detecção e triagem

• Monitorização 24/7 de sistemas críticos com alertas automáticos para anomalias de segurança.
• Todos os colaboradores são obrigados a reportar imediatamente suspeitas de incidentes de segurança à equipa responsável.
• Classificação de incidentes por severidade (P1 a P4) com tempos de resposta definidos para cada nível.

Contenção e investigação

• Procedimentos documentados de isolamento de sistemas comprometidos para minimizar propagação.
• Preservação de evidências forenses antes de qualquer acção de remediação.
• Comunicação interna restrita ao need-to-know durante a investigação.

Notificação

• Clientes afectados são notificados sem demora injustificada, fornecendo informação clara sobre a natureza do incidente, dados afectados e medidas tomadas.
• Violações de dados pessoais são comunicadas às autoridades de controlo nos prazos legalmente exigidos (72 horas, no caso do RGPD).

8. Divulgação responsável de vulnerabilidades

A GreenCode agradece e encoraja a divulgação responsável de vulnerabilidades de segurança por investigadores e profissionais de segurança.

Se descobriu uma vulnerabilidade nos nossos sistemas ou num produto desenvolvido por nós, pedimos que:

1. Nos contacte de forma privada através de seguranca@greencode.io, com o máximo de detalhes possível.
2. Não explore a vulnerabilidade além do estritamente necessário para demonstrar o seu impacto.
3. Não aceda, modifique ou elimine dados de terceiros.
4. Não divulgue publicamente a vulnerabilidade antes de nos dar um prazo razoável para a corrigir (mínimo 90 dias).

Em troca, comprometemo-nos a:

• Confirmar a recepção do seu reporte em até 48 horas.
• Investigar e resolver a vulnerabilidade de forma prioritária.
• Mantê-lo informado do progresso.
• Reconhecer a sua contribuição publicamente (se assim o desejar) após a correcção.
• Não iniciar acções legais contra investigadores que actuem de boa-fé dentro destas directrizes.

9. Conformidade e certificações

As nossas práticas de segurança são alinhadas com os seguintes referenciais e regulamentos:

• RGPD (Regulamento Geral sobre a Protecção de Dados) — para clientes e operações na União Europeia.
• OWASP Top 10 — como baseline de segurança aplicação web.
• ISO/IEC 27001 — princípios de gestão de segurança da informação que guiam as nossas práticas internas.
• CIS Controls — controlos de cibersegurança críticos como referencial para a nossa postura defensiva.
• Legislação moçambicana — Lei de Crimes Informáticos e demais legislação aplicável em Moçambique.

Realizamos auditorias internas de segurança anualmente e estamos em processo de obtenção de certificações formais.

10. Contacto de segurança

Para reportar vulnerabilidades, incidentes de segurança ou para qualquer questão relacionada com esta política:

Consulte também a nossa Política de Privacidade e a Política de Cookies.