Política de Privacidade e Segurança da Informação

Esta Política de Privacidade e Segurança da Informação rege o tratamento de dados pessoais e os controles de segurança aplicáveis à Plataforma de Viabilidades ("Plataforma"), operada pela Brasil TecPar Serviços de Telecomunicações S/A (CNPJ 04.601.397/0001-28).

A Brasil TecPar atua como Controladora em relação aos dados de cadastro, autenticação, faturamento e auditoria, e como Operadora quando trata dados em nome de parceiros, operadoras integradas e clientes corporativos, conforme contrato.

A Plataforma é projetada e operada em conformidade com a legislação brasileira aplicável e alinhada às melhores práticas de mercado:

2.1. Legislação e regulação

• LGPD — Lei nº 13.709/2018 (proteção de dados pessoais);
• Marco Civil da Internet — Lei nº 12.965/2014 e Decreto nº 8.771/2016 (guarda de logs e neutralidade);
• ANPD — Resoluções CD/ANPD nº 2/2022 (procedimentos fiscalizatórios), nº 4/2023 (dosimetria de sanções) e Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte / Boas Práticas;
• ANATEL — Resolução nº 765/2023 (Regulamento Geral de Direitos dos Consumidores) e regulamentos correlatos sobre segurança cibernética em redes de telecom;
• Código de Defesa do Consumidor — Lei nº 8.078/1990, quando aplicável;
• Código Civil — Lei nº 10.406/2002 (responsabilidade civil).

2.2. Frameworks e padrões adotados como referência

• ISO/IEC 27001:2022 — Sistema de Gestão de Segurança da Informação (SGSI);
• ISO/IEC 27701:2019 — Extensão de privacidade do SGSI;
• ISO/IEC 27017 e 27018 — controles específicos para serviços em nuvem e PII em nuvem pública;
• NIST Cybersecurity Framework (CSF) 2.0 — funções Govern, Identify, Protect, Detect, Respond, Recover;
• CIS Critical Security Controls v8 — controles de higiene cibernética;
• OWASP ASVS e OWASP Top 10 — segurança em desenvolvimento de aplicações;
• Cloud Security Alliance (CSA) CCM — referência para controles de provedor de nuvem.

Toda atividade de tratamento observa os princípios da LGPD:

• Finalidade, adequação e necessidade — coletamos o mínimo necessário para o propósito declarado;
• Livre acesso e qualidade dos dados — o titular pode consultar e corrigir seus dados;
• Transparência — informações claras sobre o que fazemos, como fazemos e por quê;
• Segurança e prevenção — medidas técnicas e administrativas para proteger os dados;
• Não discriminação — os dados não são usados para fins discriminatórios, ilícitos ou abusivos;
• Responsabilização e prestação de contas (accountability) — mantemos evidências dos controles aplicados.

4.1. Cadastro e identificação

• Nome completo, CPF, e-mail corporativo, telefone, cargo;
• Da empresa: razão social, CNPJ, endereço, contatos e representantes legais;
• Credenciais de acesso (e-mail e hash de senha — nunca a senha em claro), fatores de MFA e identificadores de SSO.

4.2. Dados de uso e telemetria

• Logs de autenticação, IP, user agent, ações realizadas, parâmetros e timestamps;
• Eventos de auditoria por papel (RBAC) e por tenant (Row-Level Security).

4.3. Conteúdo submetido

• Endereços, CEPs e coordenadas; arquivos KMZ/KML/CSV de cobertura; inventário de POPs e caixas; demandas, comentários e anexos contratuais.

4.4. Classificação de dados

Aplicamos classificação interna — Pública, Interna, Confidencial e Restrita — para definir controles de acesso, criptografia e retenção.

• Execução de contrato — operação da Plataforma para parceiros e clientes;
• Cumprimento de obrigação legal e regulatória — exigências da ANATEL, da Receita Federal e do Marco Civil quanto à guarda de registros;
• Legítimo interesse — segurança da informação, prevenção a fraudes, melhoria do serviço e auditoria, com avaliação de impacto (LIA) e respeito aos direitos do titular;
• Consentimento — quando solicitado expressamente, por exemplo para comunicações não transacionais;
• Exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

• Autenticar, autorizar e segregar acesso por papel e por tenant;
• Executar consultas de viabilidade e devolver respostas com nível de confiabilidade da fonte;
• Manter trilha de auditoria sobre quem consultou o quê e em qual momento;
• Operar contratos, anexos LPU/SLA e snapshots imutáveis com hash SHA-256;
• Detectar, investigar e responder a incidentes de segurança e abusos.

A segurança da Plataforma é estruturada como um programa contínuo, governado pela liderança de Segurança da Informação e revisado periodicamente. Adotamos defesa em profundidade, princípio do menor privilégio e premissas de Zero Trust.

7.1. Governança e gestão de riscos

• Política, normas e procedimentos formais de Segurança da Informação, revisados ao menos anualmente;
• Inventário de ativos, classificação de dados e matriz de risco com tratamento documentado (mitigar, transferir, aceitar, evitar);
• Comitê interno de Segurança e Privacidade com participação do DPO.

7.2. Identidade, autenticação e acesso

• Google SSO obrigatório para colaboradores Brasil TecPar (domínios homologados);
• MFA opcional e fortemente recomendado para parceiros e clientes;
• RBAC granular e menor privilégio — permissões mínimas necessárias por papel;
• Row-Level Security por tenant no banco — isolamento imposto na camada de dados, não apenas na aplicação;
• Tokens de API com escopo limitado, expiração, rotação e revogação a qualquer momento pelo parceiro;
• Revisão periódica de acessos privilegiados e revogação imediata em desligamentos.

7.3. Criptografia

• Em trânsito: TLS 1.2+ obrigatório, HSTShabilitado;
• Em repouso: criptografia AES-256 para dados sensíveis e backups;
• Senhas: armazenadas como hash com algoritmos resistentes (bcrypt/argon2);
• Segredos: gerenciados em cofre, jamais versionados em repositório.

7.4. Desenvolvimento seguro (S-SDLC)

• Code review obrigatório, análise estática (SAST) e de dependências (SCA) no pipeline;
• Práticas alinhadas a OWASP ASVS e mitigação de OWASP Top 10;
• Ambientes segregados (dev / staging / produção) com dados de produção protegidos contra uso indevido;
• Gestão de mudanças com aprovação, evidência e rollback planejado.

7.5. Operações e infraestrutura

• Hospedagem em provedor de nuvem com certificações reconhecidas (ISO 27001, SOC 2, CSA STAR), com região primária no Brasil;
• Hardening de imagens, atualização contínua de patches e varredura de vulnerabilidades;
• Backups criptografados com retenção definida e teste periódico de restauração;
• Plano de Continuidade de Negócio (BCP) e Recuperação de Desastres (DRP) com RPO/RTO documentados.

7.6. Monitoramento, detecção e resposta

• Logs centralizados, integridade preservada, retidos pelo prazo legal e contratual;
• Trilha de auditoria imutável de acessos, mudanças de configuração e eventos sensíveis;
• Alertas automatizados para anomalias, com plano de resposta a incidentes (NIST SP 800-61) e playbooks;
• Comunicação à ANPD e aos titulares afetados em incidentes relevantes, nos termos do art. 48 da LGPD e da Resolução CD/ANPD nº 15/2024.

7.7. Aprovação de fontes e integridade do dado

• Toda fonte de cobertura entra como pending_approval e só é considerada pelo motor após homologação;
• Snapshots de contrato com hash SHA-256, garantindo a integridade dos termos vigentes na adesão.

7.8. Avaliações independentes

• Testes de intrusão (pentest) periódicos por terceiros qualificados;
• Programa de divulgação responsável de vulnerabilidades (security@brasiltecpar.com.br);
• Auditorias internas e revisões anuais de controles.

• Treinamento periódico em Segurança da Informação e LGPD para todo o time, com módulos específicos por função sensível;
• Termos de confidencialidade (NDA) com colaboradores e prestadores;
• Due diligence de segurança e privacidade na contratação de fornecedores que tratam dados pessoais, com cláusulas de proteção e direito de auditoria;
• Avaliação periódica do risco de terceiros (TPRM).

Compartilhamos dados estritamente quando necessário e com base legal:

• Parceiros homologados do ecossistema — apenas dados pertinentes à execução da consulta (por exemplo, coordenada e categoria de produto), nunca a base completa;
• Provedores de infraestrutura — hospedagem, observabilidade, e-mail transacional, todos sob contratos com cláusulas de proteção de dados e com avaliação de segurança;
• Autoridades — quando houver requisição legal, regulatória ou ordem judicial, nos limites do pedido.

Não vendemos dados pessoais. Não usamos dados de consultas para perfilamento publicitário.

• Logs de acesso a aplicação de internet: 6 meses (Marco Civil, art. 15);
• Logs de auditoria operacional e contratos: pelo prazo de vigência e até 5 anos após o término, para defesa em eventual processo;
• Dados fiscais e contábeis: 5 anos, conforme legislação tributária;
• Findas as bases legais e os prazos, os dados são eliminados ou anonimizados de forma irreversível.

O titular pode, a qualquer momento, solicitar:

• Confirmação da existência de tratamento;
• Acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários;
• Portabilidade, observados os segredos comerciais e industriais;
• Eliminação dos dados tratados com base em consentimento, exceto quando houver outra base legal;
• Informação sobre compartilhamentos e revogação de consentimento.

Solicitações podem ser feitas ao DPO (seção 15). A resposta ocorrerá nos prazos da LGPD e da regulamentação da ANPD.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Brasil TecPar:

• Aciona o plano de resposta a incidentes, contendo o evento e preservando evidências;
• Comunica a ANPD e os titulares afetados nos prazos e forma definidos pela Resolução CD/ANPD nº 15/2024 e pelo art. 48 da LGPD;
• Conduz análise de causa raiz e implementa ações corretivas, registradas no relatório do incidente.

Os dados e arquivos publicados por parceiros, operadoras e clientes — incluindo polígonos de cobertura, declarações de disponibilidade, inventário, anexos contratuais e quaisquer outros materiais — são de responsabilidade exclusiva de quem os publicou. Cabe ao publicador garantir veracidade, atualidade, licitude e a titularidade necessária para o compartilhamento, isentando a Brasil TecPar de responsabilidade por conteúdo de terceiros, nos termos do art. 19 do Marco Civil da Internet.

A infraestrutura primária da Plataforma fica no Brasil. Eventuais transferências internacionais ocorrem apenas para provedores que ofereçam garantias adequadas previstas no art. 33 da LGPD (cláusulas-padrão contratuais, certificações reconhecidas ou países com nível adequado de proteção).

Encarregado pelo Tratamento de Dados (DPO): dpo@brasiltecpar.com.br

Segurança da Informação: security@brasiltecpar.com.br

Suporte e dúvidas gerais: suporte@brasiltecpar.com.br

Esta Política é revisada periodicamente para refletir mudanças regulatórias, operacionais ou de segurança. Mudanças relevantes serão comunicadas por e-mail e/ou aviso na Plataforma com antecedência razoável.

Versão 1.1 — vigente desde 08 de maio de 2026.