POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BAG

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BAG

BAG-AI – Bachmann Advisory Group Artificial Intelligence

​

1. OBJETIVO E ESCOPO

​

A BAG-AI estabelece nesta Política os princípios, diretrizes e controles fundamentais para proteger as informações tratadas no desenvolvimento, implementação e operação de seus produtos e serviços baseados em Inteligência Artificial.
Este documento aplica-se a toda a estrutura da BAG-AI, incluindo colaboradores, parceiros, consultores, fornecedores e quaisquer terceiros que tenham acesso a sistemas, dados ou processos sob sua responsabilidade.

​

2. PRINCÍPIOS E COMPROMISSOS

​

Esta política é guiada pelos seguintes princípios:

• Confidencialidade: acesso à informação apenas por pessoas autorizadas.

• Integridade: garantia de que a informação é exata e não foi alterada indevidamente.

• Disponibilidade: os dados e sistemas devem estar acessíveis quando necessários.

• Transparência: clareza nas práticas adotadas com relação ao uso e tratamento das informações.

• Segurança por design e por padrão: controles incorporados desde a concepção de produtos e processos.

A BAG-AI compromete-se a manter um ambiente seguro, ético, resiliente e em conformidade com as melhores práticas internacionais de governança da informação.

​

3. ABRANGÊNCIA E RESPONSABILIDADES

​

3.1. Colaboradores e terceiros devem:

• Utilizar os sistemas com responsabilidade, respeitando as diretrizes de acesso e uso seguro;

• Proteger credenciais de acesso, evitando compartilhamentos ou reutilização inadequada de senhas;

• Reportar imediatamente quaisquer suspeitas de falhas, violações ou incidentes de segurança;

• Cumprir as normas internas sobre classificação e proteção de dados.

​

3.2. Lideranças e responsáveis técnicos devem:

• Garantir a adoção de controles e boas práticas de segurança nos projetos sob sua supervisão;

• Monitorar acessos, logs e permissões em seus respectivos ambientes;

• Promover treinamentos e conscientização contínua em segurança da informação e proteção de dados.

​

4. SEGURANÇA EM AMBIENTES DE NUVEM E PLATAFORMAS DE IA

​

A BAG-AI utiliza infraestrutura em nuvem com escalabilidade, resiliência e controles avançados de segurança da informação, seguindo os seguintes padrões:

• Ambientes segregados para desenvolvimento, testes e produção;

• Gerenciamento de identidades e acessos (IAM) com autenticação multifator (MFA);

• Criptografia de dados em trânsito e em repouso com algoritmos robustos;

• Monitoramento contínuo de vulnerabilidades, logs e anomalias;

• Gerenciamento de ciclo de vida de chaves criptográficas e credenciais.

Todos os recursos computacionais, containers, agentes e repositórios são protegidos por políticas automatizadas de segurança e compliance com base em frameworks como CIS Controls, NIST Cybersecurity Framework e ISO/IEC 27017.

​

5. GESTÃO DE ACESSOS E IDENTIDADES

​

• Atribuições de acesso são baseadas no princípio do menor privilégio (least privilege);

• Todos os acessos são nomeados, rastreáveis e auditáveis;

• Contas são revogadas imediatamente após desligamentos ou finalização de contratos;

• Perfis administrativos estão sujeitos a controle rígido de logs e revisões periódicas.

• ​

6. PROTEÇÃO DE DADOS PESSOAIS E SENSÍVEIS

​

A BAG-AI adota políticas alinhadas à LGPD e outras legislações globais (como GDPR), garantindo:

• Registro e mapeamento das atividades de tratamento;

• Mecanismos de consentimento, anonimização e minimização de dados;

• Medidas de prevenção e resposta a incidentes envolvendo dados pessoais;

• Avaliação prévia de impacto à proteção de dados em novos projetos (DPIA).

​

7. CONTROLE DE INCIDENTES E RESPOSTA A CRISES

​

A BAG-AI mantém um Plano de Resposta a Incidentes estruturado para:

• Identificar e conter eventos de segurança;

• Notificar autoridades e titulares, quando necessário;

• Analisar causas raiz e implementar planos de correção e prevenção;

• Manter registros completos e auditáveis de todos os eventos críticos.

​

8. SEGURANÇA EM DESENVOLVIMENTO, APIs E AGENTES DE IA

​

• Aplicamos o modelo DevSecOps, com segurança integrada ao ciclo de vida do desenvolvimento;

• As APIs utilizadas pelos agentes autônomos são protegidas com autenticação forte e controle de escopo;

• Todos os agentes de IA operam sob camadas de supervisão e roteamento seguro;

• O código e a arquitetura lógica dos agentes são versionados, testados e auditados continuamente.

​

9. BACKUP, CONTINUIDADE E RECUPERAÇÃO

​

• Cópias de segurança são realizadas regularmente, com replicação geográfica e proteção contra ransomware;

• Procedimentos de restauração são testados periodicamente;

• Existe plano de continuidade operacional (BCP) para garantir disponibilidade crítica dos serviços.

​

10. AUDITORIA, CONFORMIDADE E MELHORIA CONTÍNUA

​

• Realizamos auditorias internas regulares para avaliar a eficácia dos controles de segurança;

• Monitoramos a conformidade com normas regulatórias, contratuais e legais;

• Mantemos processo ativo de revisão e melhoria contínua das políticas, com base em indicadores e aprendizados operacionais.

​

11. CLASSIFICAÇÃO DA INFORMAÇÃO

​

Toda informação tratada na BAG-AI é classificada em:

• Pública – disponível para acesso geral;

• Interna – uso restrito a colaboradores e parceiros com necessidade justificada;

• Confidencial – acesso controlado, exige autorização formal;

• Sensível – dados pessoais, estratégicos, regulatórios ou protegidos por contrato.

A classificação determina os controles de acesso, criptografia e tratamento.

​

12. DISPOSIÇÕES FINAIS

​

Esta Política entra em vigor na data de sua publicação e deve ser revisada anualmente ou sempre que houver mudanças relevantes no ambiente de riscos, nas tecnologias empregadas ou em requisitos legais.

Para dúvidas, sugestões ou notificações sobre esta política, entre em contato com o Comitê de Segurança da Informação e Privacidade da BAG-AI através do canal oficial de atendimento.

​

​

São Paulo, 19 de abril de 2025.

Add your own content here. Click to edit.