// LEGAL
Política de Segurança
da Informação
Diretrizes que orientam a proteção dos ativos de informação da Lion3 Security e de seus clientes, alinhadas às melhores práticas do mercado.
Última atualização: abril de 2026
01. Objetivo
Esta Política de Segurança da Informação (PSI) estabelece as diretrizes, princípios e responsabilidades que orientam a proteção dos ativos de informação da Lion3 Security Tecnologia LTDA (CNPJ 58.770.359/0001-28), bem como das informações de seus clientes e parceiros.
Como empresa especializada em cibersegurança, a Lion3 Security pratica o que prega: aplicamos internamente os mesmos padrões de segurança que recomendamos e implementamos para nossos clientes.
02. Escopo
Esta política aplica-se a:
- Todos os colaboradores, prestadores de serviço e parceiros da Lion3 Security.
- Todos os sistemas, dispositivos, aplicações e infraestrutura utilizados na operação da empresa.
- Dados e informações de clientes tratados no contexto da prestação de serviços.
- Ambientes físicos e digitais de trabalho.
03. Princípios fundamentais
A gestão de segurança da informação na Lion3 Security é fundamentada na tríade CIA:
🔒 Confidencialidade
Garantir que informações sejam acessadas apenas por pessoas autorizadas.
✅ Integridade
Assegurar que informações sejam precisas e não sejam alteradas indevidamente.
⚡ Disponibilidade
Garantir que sistemas e dados estejam acessíveis quando necessário.
🔍 Rastreabilidade
Manter registros de ações para auditoria e responsabilização.
04. Controles de acesso
O acesso a sistemas, dados e ambientes da Lion3 Security é controlado com base nos seguintes princípios:
- Menor privilégio: cada usuário tem acesso apenas ao necessário para suas funções.
- Necessidade de conhecer: informações são compartilhadas apenas com quem precisa delas.
- Autenticação multifator (MFA): obrigatória para acesso a todos os sistemas críticos.
- Revisão periódica: acessos são revisados trimestralmente e revogados quando não mais necessários.
- Zero Trust: nenhum acesso é considerado confiável por padrão, mesmo dentro da rede interna.
05. Proteção de dados de clientes
No contexto da prestação de serviços de consultoria, os dados de clientes são tratados com rigor máximo:
- Toda informação obtida durante engajamentos de consultoria é classificada como Confidencial por padrão.
- Dados de clientes são armazenados em ambientes criptografados e com acesso restrito.
- Resultados de testes, vulnerabilidades e relatórios são transmitidos exclusivamente por canais seguros e criptografados.
- Informações de clientes não são compartilhadas com terceiros sem autorização expressa.
- Ao término do contrato, dados de clientes são eliminados conforme acordo contratual.
⚠️ Relatórios de pentest e auditoria são documentos de alta sensibilidade. Nunca os compartilhe por e-mail comum, plataformas de mensagens não cifradas ou serviços de armazenamento sem controle de acesso.
06. Segurança de endpoints e dispositivos
- Todos os dispositivos utilizados na operação possuem disco criptografado (full-disk encryption).
- Antivírus/EDR ativo e atualizado em todos os dispositivos corporativos.
- Sistemas operacionais e aplicações mantidos atualizados com patches de segurança.
- Dispositivos pessoais (BYOD) submetidos a política de MDM antes de acessar recursos corporativos.
- Bloqueio automático de tela após inatividade de 5 minutos.
07. Gestão de vulnerabilidades
A Lion3 Security realiza avaliações contínuas de segurança em sua própria infraestrutura:
- Varreduras de vulnerabilidades mensais em sistemas e aplicações.
- Testes de penetração internos semestrais realizados pela equipe técnica.
- Patch management com SLA definido por criticidade: críticas em 48h, altas em 7 dias, médias em 30 dias.
- Monitoramento contínuo com alertas de segurança 24/7.
08. Resposta a incidentes
Em caso de incidente de segurança envolvendo dados de clientes ou sistemas da empresa:
- Detecção: identificação e classificação do incidente em até 4 horas.
- Contenção: ações imediatas para limitar o impacto.
- Notificação: clientes afetados são notificados em até 72 horas, conforme exigido pela LGPD.
- Análise forense: investigação detalhada para identificar causa raiz.
- Remediação: correção das vulnerabilidades exploradas.
- Lições aprendidas: revisão do processo para prevenir recorrências.
Para reportar um incidente de segurança envolvendo a Lion3 Security: contato@lion3.com.br
09. Divulgação responsável (Responsible Disclosure)
A Lion3 Security apoia práticas de divulgação responsável. Se você identificou uma vulnerabilidade em nossos sistemas:
- Não explore a vulnerabilidade além do necessário para comprová-la.
- Não acesse, modifique ou exclua dados de terceiros.
- Reporte imediatamente para contato@lion3.com.br.
- Aguarde nossa confirmação antes de divulgar publicamente.
✅ Comprometemo-nos a responder em até 5 dias úteis e a tratar pesquisadores de segurança com respeito e transparência. Não tomaremos ação legal contra pesquisadores que seguirem estas diretrizes.
10. Responsabilidades
- Todos os colaboradores: conhecer e cumprir esta política; reportar incidentes e suspeitas.
- Equipe técnica: implementar e manter controles de segurança; conduzir avaliações periódicas.
- Liderança: garantir recursos para implementação desta política; revisar anualmente.
- Prestadores de serviço: assinar acordo de confidencialidade e cumprir requisitos mínimos de segurança.
11. Revisão e vigência
Esta política entra em vigor na data de sua publicação (abril de 2026) e será revisada anualmente ou sempre que houver mudanças significativas na estrutura, tecnologia ou contexto de ameaças da empresa.
Dúvidas, sugestões ou denúncias relacionadas a esta política devem ser enviadas para: