NovaeXis

Segurança e LGPD

Proteção de dados como pilar fundamental do ecossistema

2 min de leitura
LGPD-compliant by design

5 Princípios de Segurança

Defense in Depth

  • Múltiplas camadas de proteção
  • Se uma falha, outras contêm

Least Privilege

  • Acesso mínimo necessário
  • Tempo mínimo necessário
  • Revogação automática

Zero Trust

  • Nunca confiar, sempre verificar
  • Cada requisição autenticada

Privacy by Design

  • LGPD desde a arquitetura
  • Minimização de dados
  • Anonimização por padrão

Transparency

  • Logs auditáveis
  • Direito à explicação
  • Dashboards públicos

4 Camadas de Segurança

Defense in depth na prática — cada camada é independente e auditável.

  • WAF (Web Application Firewall)
    • Proteção OWASP Top 10
    • Rate limiting
    • DDoS protection
  • VPN entre data centers
  • Segmentação de rede (VLANs, microssegmentação)
  • TLS 1.3 em todas as comunicações

Conformidade LGPD

Base legalUso no sistema
ConsentimentoDados sensíveis (saúde, biometria)
Execução de políticas públicasDados necessários para serviços
Cumprimento de obrigação legalDados para fiscalização
Proteção da vidaEmergências de saúde
Legítimo interesseAnalytics anonimizados

Auditoria e Compliance

Todo acesso a dado pessoal gera um log imutável, assinado digitalmente e correlacionado com o consentimento que o autorizou.

Imutável
Assinado
Correlato ao consentimento
Retenção 5 anos

Exemplo de log de auditoria

json
{
  "id": "uuid",
  "timestamp": "2026-01-15T10:30:00Z",
  "action": "READ_HEALTH_DATA",
  "user": {
    "id": "uuid",
    "name": "Dr. João",
    "role": "HEALTH_PROFESSIONAL"
  },
  "resource": {
    "type": "HEALTH_RECORD",
    "id": "uuid",
    "citizen_hash": "hash_cpf"
  },
  "context": {
    "ip": "192.168.1.1",
    "purpose": "ATENDIMENTO_CLINICO",
    "consent_id": "uuid"
  },
  "result": "SUCCESS",
  "signature": "assinatura_digital"
}
Onde os logs vivem
Logs de auditoria são gravados em armazenamento append-only (WORM), replicados em duas regiões e indexados para consulta pelo DPO e pelo próprio titular dos dados.

Dashboard de Transparência

Dois ambientes complementares: dados agregados abertos a todos e visão íntima de cada cidadão sobre seus próprios dados.

Painel Público
transparencia.novaexis.gov.br
Aberto
2.4M
Acessos/dia
99.98%
Uptime
0
Incidentes
Buscar logs públicos…
SLA — últimos 30 dias
API Gateway
99.99%
Auth
99.95%
DB Primary
99.8%
Meu Painel
cidadao.novaexis.gov.br
Privado
Quem acessou meus dados
Dr. João — SUS
Prontuário
há 2h
Secretaria Educação
Matrícula
ontem
Receita Federal
CPF
3 dias
Consentimentos ativos
Saúde
Educação
Fiscal
Localização

Gestão de Incidentes

Classificação

P1
🔴 P1 Crítico
Vazamento de dados
SLA < 1h
P2
🟠 P2 Alto
Acesso não autorizado
SLA < 4h
P3
🟡 P3 Médio
Tentativa de ataque
SLA < 24h
P4
🟢 P4 Baixo
Anomalia detectada
SLA < 72h

Fluxo de Resposta

  1. 1
    Detecção

    SIEM + EDR + anomalias de comportamento

  2. 2
    Classificação

    Severidade P1–P4 e escopo definidos

  3. 3
    Contenção

    Isolar sistema, revogar credenciais, bloquear IPs

  4. 4
    Investigação

    Forense, logs imutáveis, linha do tempo

  5. 5
    Remediação

    Patch, rotação de chaves, hardening

  6. 6
    Comunicação

    ANPD em até 72h, titulares e órgãos

  7. 7
    Aprendizado

    Post-mortem público sem culpa e ações

Notificação à ANPD
Incidentes P1 e P2 que envolvam dados pessoais são notificados à ANPD em até 72 horas, conforme art. 48 da LGPD, e comunicados aos titulares impactados pelos canais oficiais.

Certificações e Conformidades

Auditorias externas anuais e integração com órgãos reguladores brasileiros.

ISO 27001
Gestão de segurança da informação
LGPD Compliant
Lei nº 13.709/2018
Gov.br Integration
Identidade digital unificada
OWASP Top 10
Mitigação completa
SOC 2 Type II
Controles operacionais auditados
Este conteúdo foi útil?
Última atualização: 28 de Maio de 2026
Editar esta página
© 2026 NovaeXis · Todos os direitos reservadosv1.0.0