Política de Gerenciamento de Chaves de Criptografia

Data da politica:  
9/8/2024

 Política de Gerenciamento de Chaves de Criptografia da WebPeak   

Introdução  

A WebPeak reconhece que a criptografia é um componente essencial para proteger a confidencialidade, integridade e disponibilidade das informações sensíveis. A eficácia da criptografia depende da segurança das chaves de criptografia utilizadas. Esta política define as diretrizes e procedimentos para o gerenciamento seguro de chaves de criptografia, garantindo que elas sejam geradas, distribuídas, armazenadas, rotacionadas e descartadas de maneira segura e conforme as melhores práticas e normas internacionais, incluindo a ISO 27001.

Objetivo  

O objetivo desta política é garantir a proteção eficaz das chaves de criptografia utilizadas pela WebPeak, minimizando o risco de comprometimento e assegurando que as informações criptografadas permaneçam seguras. A política visa proporcionar um quadro de referência para o gerenciamento de chaves de criptografia em todas as etapas de seu ciclo de vida.

Escopo  

Esta política se aplica a todas as chaves de criptografia utilizadas pela WebPeak, incluindo, mas não se limitando a:

  • Chaves de criptografia simétricas e assimétricas.
  • Certificados digitais e suas chaves privadas.
  • Chaves usadas para proteger dados em repouso, dados em trânsito e dados em uso.
  • Chaves utilizadas em serviços de criptografia em nuvem gerenciados pela WebPeak.

 

Diretrizes de Gerenciamento de Chaves  

Geração de Chaves  

As chaves de criptografia devem ser geradas usando métodos criptograficamente seguros, conforme os padrões reconhecidos internacionalmente. A WebPeak utilizará algoritmos de geração de chaves que garantam a aleatoriedade e a robustez necessária para proteger as informações sensíveis.

Armazenamento de Chaves  

Todas as chaves de criptografia devem ser armazenadas de maneira segura, utilizando módulos de segurança de hardware (HSMs) ou outras soluções de armazenamento seguro aprovadas. As chaves nunca devem ser armazenadas em texto simples ou em locais não seguros, como arquivos de configuração ou bancos de dados desprotegidos.

Distribuição de Chaves  

A distribuição de chaves de criptografia deve ser realizada de maneira segura, garantindo que as chaves sejam transferidas apenas para destinatários autorizados. Métodos seguros, como o uso de canais criptografados e autenticação multifator, devem ser empregados para proteger a distribuição de chaves.

Rotação de Chaves  

As chaves de criptografia devem ser rotacionadas periodicamente para mitigar o risco de comprometimento. A WebPeak definirá uma frequência de rotação de chaves com base na sensibilidade dos dados protegidos e nas melhores práticas de segurança. Chaves comprometidas ou suspeitas de comprometimento devem ser substituídas imediatamente.

Backup de Chaves  

Backups de chaves de criptografia devem ser realizados regularmente e armazenados em locais seguros, separados dos backups de dados. Esses backups devem ser protegidos por criptografia e acessíveis apenas a pessoal autorizado. É essencial garantir que os backups de chaves sejam recuperáveis em caso de perda ou falha.

Descarte de Chaves  

As chaves de criptografia que não são mais necessárias ou que foram substituídas devem ser destruídas de maneira segura e irrecuperável. A WebPeak utilizará métodos aprovados para o descarte de chaves, garantindo que elas não possam ser recuperadas ou utilizadas novamente.

Auditoria e Monitoramento  

O uso e gerenciamento de chaves de criptografia serão monitorados e auditados regularmente para garantir conformidade com esta política. Logs de todas as operações envolvendo chaves, como geração, distribuição, rotação e destruição, serão mantidos e revisados para identificar qualquer atividade suspeita ou não autorizada.

Responsabilidades  

  • Equipe de TI: Responsável pela implementação e manutenção dos mecanismos de gerenciamento de chaves de criptografia, incluindo a geração, armazenamento e rotação de chaves.
  • Proprietários de Sistemas: Responsáveis por garantir que os sistemas sob sua gestão utilizem práticas adequadas de criptografia e gerenciamento de chaves.
  • Gestão de Segurança da Informação: Responsável por auditar e revisar regularmente as práticas de gerenciamento de chaves para assegurar a conformidade com a política.

Treinamento e Conscientização  

Todos os colaboradores da WebPeak envolvidos no gerenciamento de chaves de criptografia receberão treinamento específico sobre as melhores práticas e diretrizes estabelecidas nesta política. O treinamento incluirá procedimentos para geração, armazenamento, distribuição, rotação e descarte seguro de chaves.

Revisão da Política  

Esta política será revisada anualmente ou sempre que houver mudanças significativas na tecnologia de criptografia, na infraestrutura de TI ou nas regulamentações aplicáveis. Quaisquer revisões serão aprovadas pela alta direção e comunicadas a todos os colaboradores relevantes.

Fabricantes

Zoho Vault

Aprovado por  

Marcos Vinicius Custódio
Responsável Legal

 

contato@webpeak.com.br
+55 11 3645-3623
São Paulo, SP
Florianópolis, SC
Fale com vendas
Institucional
HomeSobre nósCasesAppsConsultoria
Industrias
Serviços
Varejo
Financeiro
Serviços
NOC
Arquitetura
Web e Mobile
Experiência Digital
AI, BI e RPA
Cloud Computing
Zoho
Parceiros
Zoho Corporation
Webflow
VTEX
Manage Engine
MTCaptcha
Google
Legal
Acordo de níveis de serviço
Política Anticorrupção
Política de PLD-FT
Política de Privacidade
Termos e Condições de Uso
Security
Política de Segurança da Informação
Política de Classificação de Informações
Política de Gerenciamento de Chaves de Criptografia
Política de Backup
Política de Gerenciamento de Acessos
Desenvolvido pelo Time  Webpeak, powered by Webflow
Mapa do Site