Segurança

Centro de Confiança

A Nyverra trata segurança como requisito de arquitetura, não como camada adicional. Esta página documenta nossos controles técnicos, políticas e canais de reporte para clientes, prospects e avaliadores de risco.

Controles Técnicos

Nossos serviços e operações seguem práticas alinhadas a frameworks reconhecidos (NIST CSF, CIS Controls), adaptadas ao porte e perfil de risco de cada ambiente gerido.

• Criptografia em trânsito (TLS 1.2/1.3) e em repouso (AES-256) para dados sob gestão.
• Segregação de rede entre ambientes de produção, homologação e acesso administrativo.
• Autenticação multifator (MFA) obrigatória para acessos administrativos a sistemas geridos.
• Registro de auditoria (logging) e monitoramento contínuo de acessos privilegiados.
• Firewall de perímetro com política de menor privilégio, revisada trimestralmente.
• Gestão de vulnerabilidades com varredura mensal e correção baseada em severidade (CVSS).
• Backup com restore testado periodicamente — periodicidade e retenção definidas em contrato.

Dados e Subprocessadores

Como processador de dados sob a LGPD, a Nyverra mantém contrato de tratamento com cada cliente, define finalidades explícitas e mantém inventário de subprocessadores.

Dados de clientes são armazenados em datacenters e nuvens contratadas no Brasil, salvo acordo explícito em contrário. Nossos principais subprocessadores de infraestrutura incluem:

• Provedores de datacenter e cloud (sob contrato de tratamento e SLA).
• Ferramentas de monitoramento e ITSM (Zabbix, Grafana, GLPI) — dados de desempenho e tickets.
• Serviços de e-mail transacional para notificações do portal do cliente.
• A lista completa de subprocessadores ativos é fornecida no contrato de prestação de serviços e mantida atualizada no Anexo de Subprocessadores.

Resposta a Incidentes

Mantemos processo documentado de resposta a incidentes, com papéis definidos, canais de escalação e prazos de comunicação proporcionais à severidade.

• Classificação de severidade (Crítico, Alto, Médio, Baixo) com SLAs de resposta e comunicação.
• Canal de notificação para clientes afetados em até 2 horas para incidentes críticos.
• Análise de causa raiz (RCA) entregue em até 10 dias úteis após contenção.
• Comunicação com ANPD e autoridades competentes quando legalmente exigido.

Controles de Acesso

O acesso a sistemas e dados de clientes segue o princípio do menor privilégio e é revisado periodicamente:

• Acesso lógico: contas nominais, MFA, revisão trimestral de perfis e credenciais.
• Acesso físico: controle de acesso biométrico e registo de entrada em datacenters sob gestão Nyverra.
• Registro de todas as ações administrativas com trilha de auditoria imutável.
• Desligamento de acesso em até 4 horas após notificação de descredenciamento.

Certificações e Auditorias

A Nyverra está em processo de adequação à ISO 27001. Até a certificação formal, mantemos e publicamos:

• Política de Segurança da Informação (documento interno, disponível sob NDA para clientes e prospects).
• Controles documentados alinhados ao NIST CSF e CIS Controls v8.
• Relatórios de vulnerabilidades e pentests (quando contratados pelo cliente).
• Evidências de auditoria fornecidas durante o processo de vendor onboarding.

Divulgação de Vulnerabilidades

A Nyverra valoriza a segurança dos seus sistemas e acolhe contribuições da comunidade de pesquisa. Esta política define como reportar vulnerabilidades de forma responsável, o que esperar do nosso processo e as proteções oferecidas a quem reporta de boa-fé.

Como reportar

Envie seu relatório para [email protected], de preferência com:

• Descrição clara da vulnerabilidade encontrada, com passos para reprodução.
• Produto, URL, versão ou endpoint afetado.
• Impacto potencial e cenário de exploração (se conhecido).
• Ferramentas ou payload utilizados (quando aplicável).
• Seus dados de contato (nome, e-mail) — opcional, mas recomendado para acompanhamento.

Escopo

Esta política cobre:

• nyverra.com e nyverra.com.br (site institucional e landing pages).
• portal.nyverra.com.br (portal do cliente).
• APIs públicas acessíveis sob os domínios acima.
• Serviços gerenciados expostos publicamente cuja propriedade seja Nyverra.

Estão fora do escopo: ataques de negação de serviço, engenharia social contra colaboradores, varreduras agressivas que degradem serviços e vulnerabilidades em infraestrutura de terceiros não gerida pela Nyverra.

Safe Harbor

Consideramos que atividades conduzidas de acordo com esta política constituem conduta autorizada sob leis aplicáveis (incluindo, mas não se limitando a, Lei Carolina Dieckmann e Lei 14.155/2021 no Brasil, CFAA nos EUA e diretivas equivalentes).

Não iniciaremos ação legal contra você nem solicitaremos que autoridades o façam, desde que:

• Você nos reporte a vulnerabilidade antes de divulgá-la publicamente.
• Você respeite o tempo de resposta acordado (padrão: 90 dias a partir do primeiro contato).
• Você não acesse, altere, extraia, destrua ou retenha dados que não sejam os mínimos necessários para demonstrar a vulnerabilidade.
• Você não explore a vulnerabilidade para obter vantagem financeira, acessar sistemas de clientes ou interromper serviços em produção.

Tempo de resposta

Nosso compromisso com quem reporta:

• Confirmação de recebimento em até 3 dias úteis.
• Avaliação inicial e classificação de severidade em até 10 dias úteis.
• Correção e comunicação de conclusão em até 90 dias (salvo complexidade excepcional, comunicada ao reportante).
• Reconhecimento público (se autorizado pelo reportante) após a correção.

Relatórios de boa-fé recebem resposta mesmo que estejam fora do escopo; informaremos o motivo e, quando possível, redirecionaremos ao responsável.

Chave PGP

Para relatórios que contenham informação sensível, utilize nossa chave PGP disponível em https://nyverra.com.br/.well-known/security.txt ou solicite por e-mail. Fingerprint será publicado neste mesmo arquivo quando disponível.

Programa de recompensas

Atualmente, a Nyverra não mantém programa de bug bounty com recompensa financeira. Relatórios de qualidade são reconhecidos publicamente (com autorização) na nossa página de agradecimentos. Empresas que executam pentests comerciais ou varreduras não-autorizadas devem entrar em contato pelo canal [email protected] antes de iniciar qualquer atividade.