# Política de Segurança da Informação

## Plataforma Sonax

A **Sonax** é uma plataforma SaaS de comunicação empresarial que fornece soluções omnichannel em canais de voz e texto, integradas a ecossistemas como **WhatsApp**, **Telegram**, **Facebook** e operadoras de telecomunicações.

A segurança da informação é um dos pilares estratégicos da Sonax. Nosso compromisso é proteger os dados de nossos clientes, parceiros e usuários por meio de controles técnicos, administrativos e organizacionais alinhados às melhores práticas globais.

—

## 1. Compromisso com Conformidade e Regulamentação

A Sonax adota práticas compatíveis com os principais padrões e legislações aplicáveis, incluindo:

* Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018)
* Marco Civil da Internet (Lei nº 12.965/2014)
* **General Data Protection Regulation (GDPR)**, quando aplicável
* Boas práticas baseadas na **ISO/IEC 27001**
* Controles alinhados à **ISO/IEC 27002**
* Princípios de auditoria compatíveis com **SOC 2**

Nosso programa de segurança é revisado periodicamente para acompanhar evoluções regulatórias e tecnológicas.

—

## 2. Princípios de Segurança da Informação

Nossa atuação é guiada pelos seguintes princípios:

* **Confidencialidade** – Proteção contra acesso não autorizado
* **Integridade** – Garantia de exatidão e consistência dos dados
* **Disponibilidade** – Alta disponibilidade e resiliência operacional
* **Autenticidade** – Identificação segura de usuários e sistemas
* **Rastreabilidade** – Registro e auditoria das operações realizadas

—

## 3. Proteção de Dados e Privacidade

A Sonax trata dados pessoais e dados de comunicação de forma responsável e transparente:

* Coleta mínima de dados necessária para prestação do serviço
* Tratamento com base legal adequada
* Atendimento aos direitos dos titulares de dados
* Criptografia de dados sensíveis
* Monitoramento contínuo de acessos e atividades

—

## 4. Controles Técnicos de Segurança

### Infraestrutura

* Ambientes em nuvem com redundância e alta disponibilidade
* Segmentação de redes e isolamento de ambientes (produção, homologação e desenvolvimento)
* Firewalls, WAF e mecanismos de detecção de intrusão
* Monitoramento contínuo de eventos de segurança

### Aplicações

* Desenvolvimento seguro (Secure SDLC)
* Testes periódicos de vulnerabilidade
* Atualizações e gestão de patches contínuas
* Proteção contra vulnerabilidades reconhecidas (OWASP)

—

## 5. Criptografia e Proteção de Dados

* TLS 1.2 ou superior para dados em trânsito
* Criptografia de dados sensíveis em repouso
* Gestão segura de credenciais e chaves criptográficas

—

## 6. Controle de Acesso

* Princípio do menor privilégio (Least Privilege)
* Autenticação multifator (MFA) para acessos administrativos
* Revisões periódicas de permissões
* Logs de auditoria armazenados de forma segura

—

## 7. Continuidade de Negócios

* Plano de Continuidade de Negócios (PCN)
* Plano de Recuperação de Desastres (DRP)
* Backups automatizados e criptografados
* Testes regulares de restauração

—

## 8. Gestão de Incidentes

Mantemos processos estruturados para:

* Identificação e resposta rápida a incidentes
* Contenção e mitigação de impactos
* Comunicação transparente com clientes quando necessário
* Registro e análise técnica para prevenção de recorrências

—

## 9. Gestão de Terceiros

Parceiros e fornecedores são avaliados sob critérios de segurança e conformidade, com cláusulas contratuais específicas de proteção de dados e confidencialidade.

—

## 10. Cultura de Segurança

Promovemos treinamentos periódicos de conscientização em segurança da informação e boas práticas para todos os colaboradores.

—

## Atualizações

Esta política poderá ser atualizada periodicamente para refletir melhorias contínuas, mudanças regulatórias ou evolução tecnológica da plataforma.