Segurança da informação e privacidade by design
Segurança
Práticas públicas de segurança adotadas pela TiWiki para site, serviços, APIs, integrações, WhatsApp e soluções SaaS.
1. Programa de segurança
A segurança é tratada como responsabilidade contínua de arquitetura, operação, fornecedores e pessoas.
- Controle de acesso por necessidade e segregação de permissões.
- Boas práticas de desenvolvimento seguro e revisão de integrações.
- Uso de HTTPS, políticas de segurança no servidor e proteção contra exposição indevida.
- Logs e monitoramento para eventos relevantes de segurança.
- Backups, continuidade operacional e recuperação conforme escopo contratado.
- Avaliação de suboperadores e uso de contratos ou termos compatíveis com proteção de dados.
2. Controles técnicos e administrativos
| Área | Prática adotada |
|---|---|
| Acesso | Permissões por necessidade, revisão de usuários, segregação de ambientes e redução de privilégios excessivos. |
| Aplicação | Validação de entradas, revisão de integrações, uso de dependências confiáveis e correção de falhas identificadas. |
| Dados | Minimização, retenção compatível, backups, logs e proteção de informações conforme criticidade. |
| Infraestrutura | HTTPS, configurações de servidor, monitoramento, atualização de serviços e separação lógica de recursos. |
| Fornecedores | Avaliação de políticas, termos, controles de segurança e capacidade de resposta a incidentes. |
| Operação | Procedimentos de suporte, registro de eventos relevantes, acompanhamento de indisponibilidade e gestão de mudanças. |
3. Proteção de dados em serviços digitais
Para soluções SaaS, CRM, chatbot, omnichannel, WhatsApp, APIs e webhooks, aplicamos minimização, autenticação, rastreabilidade de eventos, isolamento lógico e tratamento proporcional ao risco.
Projetos sob medida podem possuir requisitos adicionais de segurança definidos em contrato, como ambientes dedicados, logs estendidos, retenção específica, integrações privadas e controles de acesso adicionais.
Integrações com Meta, WhatsApp Business Platform e APIs de terceiros exigem proteção de credenciais, controle de webhooks, validação de permissões, monitoramento de status e uso compatível com as políticas das plataformas.
4. Desenvolvimento seguro
Alterações de software devem considerar impacto em privacidade, segurança, disponibilidade, registros de auditoria, permissões, integrações e dados de clientes. Mudanças relevantes podem passar por revisão técnica, testes, validação de build e acompanhamento após publicação.
Em integrações por API ou webhook, recomendamos autenticação adequada, escopo mínimo de tokens, segredo por ambiente, tratamento de erro, retry controlado, rate limit quando aplicável e logs sem exposição desnecessária de dados pessoais.
5. Continuidade, backups e logs
Backups, logs e rotinas de recuperação são mantidos conforme escopo técnico e contratual. Esses registros podem ser necessários para segurança, investigação de incidentes, continuidade operacional, auditoria e cumprimento de obrigações legais.
Logs não devem ser usados como fonte de consulta operacional ampla quando houver alternativa menos intrusiva. Acesso a logs deve ser restrito a pessoas autorizadas e pelo tempo necessário.
6. Incidentes
Suspeitas de vulnerabilidade, exposição indevida, abuso de API, uso indevido de marca, phishing ou incidente envolvendo dados podem ser reportadas pelo canal de segurança.
Canal de segurança: seguranca@tiwiki.com.br. Inclua descrição, evidências, data/hora, URL afetada, impacto estimado e forma de contato.
Relatos recebidos são avaliados conforme gravidade, exploração possível, impacto em dados, risco operacional e obrigação de comunicação a clientes, titulares ou autoridades.
7. Responsabilidade compartilhada
Clientes são responsáveis por permissões concedidas, usuários internos, conteúdo inserido, bases legais, opt-in de canais, credenciais próprias e configurações sob sua administração.
A TiWiki recomenda autenticação forte, revisão periódica de acessos, gestão de senhas, treinamento de equipe, controle de dispositivos, revisão de integrações e processos internos de resposta a incidentes.
Quando o cliente conecta canais como WhatsApp, Meta, e-mail, CRM ou APIs, ele deve manter credenciais sob controle, remover acessos de pessoas desligadas, revisar permissões e validar se a comunicação enviada possui base legal.
8. Limites e compromissos
Nenhum ambiente conectado à internet pode ser declarado totalmente imune a riscos. A TiWiki adota medidas proporcionais ao porte, natureza do serviço, dados tratados, arquitetura contratada e obrigações aplicáveis.
Quando houver contrato corporativo com requisitos específicos, como DPA, SLA, ambiente dedicado, retenção diferenciada ou auditoria, as condições contratuais complementam esta página pública.