Política de Segurança

Última Atualização: 1 de Dezembro de 2024

Na Apilium Corp OU, a segurança é fundamental em tudo que construímos. Como desenvolvedores nós mesmos, entendemos a importância crítica de proteger seu código e dados. Esta Política de Segurança descreve nossa abordagem abrangente para proteger o Apilium Forge IDE e todos os serviços relacionados.

1. Nosso Compromisso com a Segurança

Estamos comprometidos em:

  • Proteger a confidencialidade, integridade e disponibilidade do seu código e dados
  • Nunca usar seu código para treinar modelos de IA sem consentimento explícito
  • Implementar controles de segurança e melhores práticas líderes do setor
  • Fornecer transparência sobre nossas práticas de segurança através desta política
  • Monitorar, testar e melhorar continuamente nossa postura de segurança
  • Responder prontamente e de forma transparente a incidentes de segurança

Certificações e Avaliações

Mantemos as seguintes certificações de segurança e passamos por avaliações regulares:

  • Certificação SOC 2 Type II (em andamento)
  • Testes de penetração anuais por terceiros
  • Varredura contínua de vulnerabilidades
  • Auditorias de segurança regulares por empresas independentes

Relatórios detalhados de segurança estão disponíveis em apilium.com/security

2. Segurança da Infraestrutura

Fluxo de Dados de Código

Quando você usa o Apilium Forge IDE, seu código flui através de nossa infraestrutura segura:

  • Seu código é criptografado em trânsito usando TLS 1.3
  • Solicitações são processadas através de nossos servidores backend hospedados na AWS
  • O processamento de IA é realizado por nossos provedores de modelo com acordos de retenção zero
  • Com o Modo de Privacidade ativado, nenhum código em texto plano é armazenado após a conclusão da solicitação

Parceiros de Infraestrutura

Infraestrutura Primária

  • AWS (Amazon Web Services) - Infraestrutura em nuvem primária (regiões EUA e UE)
  • Cloudflare - Proteção DDoS, WAF e serviços CDN
  • Google Cloud Platform - Infraestrutura secundária/backup

Provedores de Modelos de IA

Fazemos parceria com provedores de IA líderes, todos com acordos de retenção zero de dados para usuários do Modo de Privacidade:

  • Anthropic (modelos Claude)
  • OpenAI (modelos GPT)
  • Modelos personalizados ajustados em infraestrutura segura

3. Medidas de Segurança Técnica

Criptografia

Dados em Trânsito: Todos os dados transmitidos entre o Apilium Forge e nossos servidores são criptografados usando TLS 1.3 com suítes de cifra fortes

Dados em Repouso: Todos os dados armazenados são criptografados usando criptografia AES-256-GCM

Chaves de criptografia são gerenciadas usando AWS KMS com rotação automática a cada 90 dias

Para clientes Empresariais, oferecemos criptografia de ponta a ponta onde apenas você detém as chaves de descriptografia

Controles de Acesso

  • Autenticação multifator (MFA) obrigatória para todas as contas de funcionários
  • Chaves de segurança de hardware (FIDO2/WebAuthn) para acesso privilegiado
  • Controle de acesso baseado em função (RBAC) com princípio de menor privilégio
  • Provisionamento de acesso just-in-time para sistemas de produção
  • Revisões trimestrais de acesso e desprovisionamento imediato para saídas
  • Lista de permissões de IP e requisitos de VPN para acesso administrativo

Segurança de Rede

  • Web Application Firewall (WAF) com conjuntos de regras personalizadas
  • Mitigação de DDoS de nível empresarial (Cloudflare Magic Transit)
  • Segmentação de rede com sub-redes privadas para serviços sensíveis
  • Sistemas de Detecção/Prevenção de Intrusão (IDS/IPS)
  • Monitoramento contínuo de tráfego de rede e detecção de anomalias
  • Testes regulares de penetração externos e internos

Segurança de Aplicação

  • Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC) com gates de segurança
  • Revisões de código obrigatórias com checklist focado em segurança
  • Teste de Segurança de Aplicação Estática (SAST) no pipeline CI/CD
  • Teste de Segurança de Aplicação Dinâmica (DAST) para aplicações implantadas
  • Análise de Composição de Software (SCA) para vulnerabilidades de dependências
  • Treinamento regular de segurança para todos os desenvolvedores
  • Proteção contra vulnerabilidades do OWASP Top 10 e SANS Top 25

Segurança do Cliente (IDE)

O Apilium Forge IDE é construído com segurança em mente:

  • Binários assinados por código para todas as plataformas (Windows, macOS, Linux)
  • Atualizações de segurança automáticas com capacidade de rollback
  • Ambiente de execução de extensão em sandbox
  • Criptografia local de dados em cache e credenciais
  • Acesso de rede configurável com domínios de lista de permissões
  • Suporte para .apiliumignore para excluir arquivos sensíveis do processamento de IA

4. Segurança Organizacional

Treinamento de Segurança de Funcionários

Todos os funcionários da Apilium passam por treinamento abrangente de segurança:

  • Treinamento de conscientização de segurança durante a integração
  • Atualizações e avaliações trimestrais de treinamento de segurança
  • Exercícios mensais de simulação de phishing
  • Treinamento de segurança específico por função para engenheiros
  • Exercícios anuais de tabletop de resposta a incidentes

Políticas de Segurança

Mantemos e aplicamos políticas abrangentes de segurança:

  • Política e Padrões de Segurança da Informação
  • Políticas de Uso Aceitável e Controle de Acesso
  • Plano de Resposta e Comunicação de Incidentes
  • Plano de Continuidade de Negócios e Recuperação de Desastres
  • Requisitos de Avaliação de Segurança de Fornecedores
  • Diretrizes de Classificação e Tratamento de Dados
  • Procedimentos de Gestão de Mudanças e Lançamento

Verificação de Funcionários

Todos os funcionários com acesso a dados de clientes passam por verificações de antecedentes apropriadas para sua função e jurisdição, e assinam acordos de confidencialidade.

5. Garantias de Segurança do Modo de Privacidade

Quando o Modo de Privacidade está ativado no Apilium Forge (ativado por padrão), fornecemos as seguintes garantias de segurança:

  • Retenção zero de dados por todos os provedores de modelos de IA
  • Nenhum código em texto plano armazenado em nossos servidores além do processamento imediato da solicitação
  • Seu código nunca é usado para treinar modelos de IA
  • Todas as solicitações de IA incluem cabeçalhos de privacidade aplicados (x-privacy-mode)
  • Solicitações assumem comportamento de preservação de privacidade se cabeçalhos estiverem ausentes
  • Indexação de base de código armazena apenas embeddings ofuscados, não código em texto plano

Opções de Privacidade Empresarial

  • Implantação local para soberania completa de dados
  • Infraestrutura dedicada isolada de outros clientes
  • Requisitos personalizados de residência de dados (somente UE, regiões específicas)
  • Criptografia Bring-your-own-key (BYOK)
  • Conectividade de rede privada (AWS PrivateLink, VPN)

6. Proteção de Dados

Classificação de Dados

Classificamos todos os dados com base no nível de sensibilidade:

  • Público: Materiais de marketing, documentação pública
  • Interno: Processos internos, dados de negócios não sensíveis
  • Confidencial: Dados de conta de clientes, comunicações de suporte
  • Restrito: Código de cliente, credenciais, configurações de segurança

Backup e Recuperação

Mantemos capacidades robustas de backup e recuperação de desastres:

  • Backups criptografados e distribuídos geograficamente
  • Recuperação point-in-time para bancos de dados (até 35 dias)
  • Objetivo de Tempo de Recuperação (RTO): 4 horas
  • Objetivo de Ponto de Recuperação (RPO): 1 hora
  • Testes trimestrais de recuperação de desastres
  • Capacidade de failover multi-região

7. Resposta a Incidentes de Segurança

Processo de Resposta a Incidentes

Seguimos um processo estruturado de resposta a incidentes:

  • Detecção: Monitoramento e alerta automatizado 24/7
  • Triagem: Avaliação da equipe de segurança dentro de 15 minutos
  • Contenção: Isolamento imediato de sistemas afetados
  • Investigação: Análise de causa raiz e avaliação de impacto
  • Erradicação: Remoção de ameaça e endurecimento do sistema
  • Recuperação: Restauração controlada de serviços
  • Post-mortem: Lições aprendidas e melhorias de processo

Notificação de Violação

Em caso de violação de segurança afetando seus dados, nos comprometemos a:

  • Notificar usuários afetados dentro de 72 horas de violação confirmada
  • Fornecer detalhes claros sobre quais dados foram afetados
  • Explicar ações que estamos tomando para resolver o incidente
  • Oferecer orientação sobre etapas que você pode tomar para se proteger
  • Notificar autoridades reguladoras relevantes conforme exigido por lei
  • Fornecer atualizações regulares até que o incidente seja resolvido

8. Programa de Divulgação de Vulnerabilidades

Mantemos um programa de divulgação responsável e acolhemos pesquisa de segurança.

No Escopo

  • Apilium Forge IDE (todas as plataformas)
  • api.apilium.com e todos os subdomínios
  • portal.apilium.com (Portal do Cliente)
  • apilium.com (Site)

Como Relatar

Se você descobrir uma vulnerabilidade de segurança:

  • Envie email para [email protected] com informações detalhadas da vulnerabilidade
  • Inclua passos para reproduzir, impacto potencial e qualquer prova de conceito
  • Para relatórios sensíveis, use nossa chave PGP (disponível em nossa página de segurança)
  • Permita até 90 dias para remediação antes da divulgação pública

Nosso Compromisso

Nos comprometemos com pesquisadores de segurança:

  • Reconhecer recebimento dentro de 24 horas
  • Fornecer avaliação inicial dentro de 5 dias úteis
  • Mantê-lo informado sobre o progresso da remediação
  • Creditá-lo em nossos reconhecimentos de segurança (a menos que anonimato seja preferido)
  • Não buscar ação legal por pesquisa de segurança de boa fé

Oferecemos recompensas para vulnerabilidades qualificadas. Entre em contato conosco para detalhes do programa atual.

9. Segurança de Terceiros

Requisitos de Segurança de Fornecedores

Todos os fornecedores com acesso a dados de clientes devem atender aos nossos requisitos de segurança:

  • Completar questionário de segurança e avaliação de risco
  • Certificação SOC 2 Type II ou equivalente
  • Acordo de Processamento de Dados (DPA) com cláusulas compatíveis com GDPR
  • Revisão de segurança anual e re-certificação
  • Requisitos de notificação imediata de violação

Subprocessadores

Subprocessadores atuais com acesso a dados de clientes:

  • AWS (Infraestrutura) - EUA/UE
  • Anthropic, OpenAI (Modelos de IA) - EUA com retenção zero
  • Stripe (Processamento de Pagamentos) - EUA/UE
  • Cloudflare (CDN/Segurança) - Global
  • MongoDB Atlas (Banco de Dados) - UE
  • SendGrid (Email) - EUA

Notificamos clientes 30 dias antes de adicionar novos subprocessadores. Lista atual disponível em apilium.com/compliance

10. Segurança Física

Nossa infraestrutura está hospedada em datacenters de nível empresarial com segurança física abrangente:

  • Pessoal de segurança e vigilância por vídeo 24/7/365
  • Controles de acesso físico multifator (biométrico + crachá)
  • Sistemas de entrada mantrap e requisitos de escolta de visitantes
  • Controles ambientais (supressão de incêndio, controle climático, UPS, geradores)
  • Instalações certificadas SOC 2 Type II
  • Auditorias regulares de segurança física

11. Atualizações da Política

Revisamos esta Política de Segurança trimestralmente e a atualizamos para refletir mudanças em nossas práticas de segurança, tecnologia e regulamentos. Mudanças materiais são comunicadas via email a todos os usuários.

12. Informações de Contato

Para perguntas relacionadas à segurança ou para relatar problemas de segurança:

Company: Apilium Corp OU

Address: Tallinn, Estônia

Equipe de Segurança: [email protected]

Chave PGP: Disponível em apilium.com/security

Centro de Confiança: apilium.com/security

Consultas Gerais: [email protected]