Política de Segurança

Última atualização: 30 de março de 2026

Na Nova Finance, a segurança é nossa prioridade máxima. Esta Política de Segurança fornece informações abrangentes sobre nossas práticas de segurança, medidas de proteção de dados e conformidade com padrões do setor. Estamos comprometidos em proteger suas informações financeiras e manter a confiança que você deposita em nós.

Importante: a Nova Finance é uma plataforma de gestão e visualização financeira em modo somente leitura. Não executamos transações financeiras, transferências, pagamentos, saques ou depósitos. Nosso serviço se limita a visualizar, organizar e analisar seus dados financeiros existentes. Todas as medidas de segurança são desenhadas para proteger seus dados durante visualização e análise.

Esta política cumpre requisitos do Plaid, GLBA, PCI DSS (via Stripe), GDPR, CCPA e LGPD.

1. Governança de Segurança da Informação e Gestão de Riscos

1.1 Estrutura de Governança de Segurança

Chief Information Security Officer (CISO): supervisiona iniciativas e políticas de segurança
Equipe de Segurança: pessoal dedicado a monitoramento, resposta a incidentes e operações de segurança
Revisões Trimestrais de Segurança: avaliação regular de postura de segurança e atualização de políticas
Auditorias de Terceiros: auditorias anuais SOC 2 Type II por auditores independentes

1.2 Avaliação e Gestão de Riscos

Avaliações Anuais de Risco: avaliação abrangente de riscos de segurança da informação
Modelagem de Ameaças: identificação de vetores de ataque e vulnerabilidades
Análise de Impacto nos Negócios: avaliação de criticidade de sistemas e dados
Planos de Mitigação: estratégias documentadas para tratar riscos identificados
Monitoramento Contínuo: detecção e resposta em tempo real

2. Políticas e Procedimentos de Segurança da Informação

Política de Proteção de Dados: diretrizes para tratamento de informações sensíveis
Política de Controle de Acesso: regras para concessão e revogação de acesso
Política de Resposta a Incidentes: procedimentos para detecção e resposta a incidentes
Continuidade de Negócios e Recuperação de Desastres: planos para garantir disponibilidade
Política de Uso Aceitável: diretrizes para uso de tecnologia por colaboradores
Gestão de Risco de Terceiros: procedimentos de avaliação de segurança de fornecedores

3. Gestão de Identidade e Acesso (IAM)

Princípio do Menor Privilégio: acesso mínimo necessário por função
Base Need-to-Know: acesso concedido apenas quando exigido pela função
Segregação de Funções: operações críticas requerem aprovações múltiplas
Acesso por Tempo: acessos temporários expiram automaticamente

Mecanismos de Autenticação

Requisitos Fortes de Senha: mínimo de 12 caracteres com regras de complexidade
Hashing de Senha: bcrypt com salt rounds
Tokens de Sessão JWT: tokens de curta duração com mecanismo de refresh
Cookies Seguros: atributos HttpOnly, Secure e SameSite

4. Autenticação Multifator (MFA)

Estamos desenvolvendo um sistema robusto de MFA com suporte a aplicativo autenticador (TOTP) para adicionar uma camada extra de segurança às contas de usuários. Este recurso estará disponível em breve.

OTP Baseado em Tempo (TOTP)
Controle do Usuário: ativar/desativar em Configurações > Segurança
Cadastro via QR Code
Códigos de Recuperação

5. Segurança e Gestão de Senhas

Tamanho Mínimo: 12 caracteres (recomendado 16+)
Complexidade: maiúsculas, minúsculas, números e caracteres especiais
Sem Senhas Comuns: verificação contra bases de credenciais vazadas
Tokens de Redefinição: uso único, expiração em 1 hora

6. Padrões de Criptografia de Dados

Em Repouso: AES-256-CBC para dados sensíveis
Em Trânsito: TLS 1.2+ (preferencialmente TLS 1.3)
HSTS: aplicado
Tokens Plaid: criptografados antes do armazenamento

7. Salvaguardas Técnicas de Segurança

Hospedagem Backend: Google Cloud Run
Hospedagem Frontend: Vercel
Banco de Dados: Supabase PostgreSQL com RLS
Rate Limiting: endpoints sensíveis protegidos
Proteções CSRF/XSS/SQLi: aplicadas por framework e configuração

8. Gestão de Vulnerabilidades e Patches

Varredura Automatizada: semanal
Auditoria de Dependências: checagens diárias
Patches Críticos: aplicados em até 24 horas
Patches de Alta Prioridade: aplicados em até 7 dias

9. Proteção de Dados e Práticas de Privacidade

Minimização de dados e visualização financeira em modo somente leitura
Sem armazenamento de credenciais de login bancário
Sem capacidade de executar transações
Janelas definidas de retenção e exclusão

10. Segurança de Provedores de Terceiros

Plaid: SOC 2 Type II, ISO 27001, PCI DSS
Stripe: PCI DSS Level 1, SOC 2 Type II
Supabase: SOC 2 Type II, ISO 27001
Google Cloud: SOC 2/3, ISO 27001, PCI DSS

11. Resposta a Incidentes de Segurança

Monitoramento e triagem 24/7
Notificação ao usuário em até 72 horas quando exigido por lei
Reporte regulatório quando aplicável
Contenção, erradicação, recuperação e revisão pós-incidente

12. Recomendações de Segurança ao Usuário

Ative MFA
Use senha forte e exclusiva
Nunca compartilhe credenciais
Reporte atividade suspeita para support@novafinance.tech

13. Informações de Contato de Segurança

Equipe de Segurança da Nova Finance

Questões de Segurança: support@novafinance.tech Relatos de Vulnerabilidade: support@novafinance.tech Dúvidas de Privacidade: support@novafinance.tech Suporte Geral: support@novafinance.tech

Versão do Documento: 2.0 (Data de vigência: 30 de março de 2026)
Conformidade: SOC 2 Type II, GDPR, CCPA, LGPD, GLBA, PCI DSS (via Stripe para assinaturas)
Última Auditoria de Segurança: janeiro de 2026
Próxima Auditoria Programada: janeiro de 2027

1. Governança de Segurança da Informação e Gestão de Riscos

1.1 Estrutura de Governança de Segurança

Chief Information Security Officer (CISO): supervisiona iniciativas e políticas de segurança

Equipe de Segurança: pessoal dedicado a monitoramento, resposta a incidentes e operações de segurança

Revisões Trimestrais de Segurança: avaliação regular de postura de segurança e atualização de políticas

Auditorias de Terceiros: auditorias anuais SOC 2 Type II por auditores independentes

1.2 Avaliação e Gestão de Riscos

Avaliações Anuais de Risco: avaliação abrangente de riscos de segurança da informação

Modelagem de Ameaças: identificação de vetores de ataque e vulnerabilidades

Análise de Impacto nos Negócios: avaliação de criticidade de sistemas e dados

Planos de Mitigação: estratégias documentadas para tratar riscos identificados

Monitoramento Contínuo: detecção e resposta em tempo real

2. Políticas e Procedimentos de Segurança da Informação

Política de Proteção de Dados: diretrizes para tratamento de informações sensíveis

Política de Controle de Acesso: regras para concessão e revogação de acesso

Política de Resposta a Incidentes: procedimentos para detecção e resposta a incidentes

Continuidade de Negócios e Recuperação de Desastres: planos para garantir disponibilidade

Política de Uso Aceitável: diretrizes para uso de tecnologia por colaboradores

Gestão de Risco de Terceiros: procedimentos de avaliação de segurança de fornecedores

3. Gestão de Identidade e Acesso (IAM)

Princípio do Menor Privilégio: acesso mínimo necessário por função

Base Need-to-Know: acesso concedido apenas quando exigido pela função

Segregação de Funções: operações críticas requerem aprovações múltiplas

Acesso por Tempo: acessos temporários expiram automaticamente

Mecanismos de Autenticação

Requisitos Fortes de Senha: mínimo de 12 caracteres com regras de complexidade

Hashing de Senha: bcrypt com salt rounds

Tokens de Sessão JWT: tokens de curta duração com mecanismo de refresh

Cookies Seguros: atributos HttpOnly, Secure e SameSite

4. Autenticação Multifator (MFA)

OTP Baseado em Tempo (TOTP)

Controle do Usuário: ativar/desativar em Configurações > Segurança

Cadastro via QR Code

Códigos de Recuperação