Centro de Confiança: Segurança, Conformidade e Qualidade Centrada no Humano

Resultados de Testes de Penetração Independentes (VAPT)

Nossa plataforma é avaliada por testadores terceirizados certificados pela OSCP/CREST usando metodologias OWASP e PTES. A avaliação mais recente (setembro de 2025) relatou 0 problemas Críticos/Altos, e as descobertas prioritárias foram remediadas e verificadas no reteste. Solicite acesso ao Resumo Executivo atual e ao relatório VAPT completo (disponível sob NDA).

Versão 1.2 — 07 Jan 2025

Padrão de Controle de Acesso e Autenticação (SSO/MFA e Menor Privilégio)

Um rigoroso padrão de gerenciamento de acesso empresarial cobrindo SSO + MFA por padrão, administração apenas via bastion, revisões trimestrais de direitos, monitoramento SIEM, segredos em cofre com rotação programada e salvaguardas de endpoint/rede de confiança zero. Projetado para controles ISO 27001/NIST, evidência de auditoria e aplicação do menor privilégio na nuvem, SaaS e endpoints.

Versão 1.2 — 07 Jan 2025

Programa de Segurança e Estrutura de Controle (Alinhado com ISO/NIST)

Visão geral do SGSI da GoTranscript: Alinhamento com ISO 27001/27002/27017/27018 e NIST CSF, governança de riscos, modelo de classificação/retenção, gerenciamento de incidentes (janela de violação de 72 horas), endurecimento de operações de TI e SDLC seguro. Ideal para due diligence, RFPs e revisões documentais de auditores.

Versão 1.2 — 07 Jan 2025

Política de Segurança e Treinamento da Força de Trabalho

Segurança de pessoal empresarial: acesso automatizado para novos contratados/mudanças/saídas via SSO + MFA, integração de 90 minutos, treinamento em PII do Departamento de Defesa dos EUA dentro de 30 dias, micro-lições mensais, testes trimestrais de phishing e SLA de desativação de 4 horas para saídas com rotação imediata de segredos. Pronto para evidências em auditorias e BAAs.

Versão 1.2 — 07 Jan 2025

Padrão de Resposta a Incidentes de Segurança e Defesa contra Malware

Manual formal de resposta a incidentes (Preparação→Detecção→Contenção→Erradicação→Pós-Incidente), regra de relatório de 15 minutos, guia de aviso ICO/GDPR de 72 horas, retenção de evidências de 7 anos e uma pilha endurecida de EDR/AV (Defender, CrowdStrike, ESET, GuardDuty) com verificação de uploads e testes trimestrais EICAR. Projetado para ambientes regulamentados.

Revisão 4 — 27 Set 2025

Política Corporativa de Segurança da Informação

A política governante para confidencialidade, integridade e disponibilidade em toda a empresa: classificação, manuseio por terceiros, armazenamento/descarte seguro, gerenciamento de mudanças, resposta a incidentes, continuidade e conformidade. Escopo/definições claros para preparação de auditorias e envolvimento com reguladores.

Versão 1.2 — 07 Jan 2025

Estrutura de Resiliência Operacional e Continuidade de Negócios

Compromissos de tempo de atividade e recuperação para compradores empresariais: ≥99,9% de disponibilidade, RTO ≤1h, RPO ≤15m, design multi-AZ, backups criptografados entre regiões com verificações de integridade, failovers anuais/análises de mesa e integração de RI com notificações de violação de 72 horas quando necessário.

Versão 1.2 — 07 Jan 2025

Controles de Segurança e KPIs de Operações de TI

Propriedade do controle diário e fluxos de evidência para auditorias: SLAs de patches (críticos ≤14 dias), 100% criptografia/MFA/backups, CMDB em tempo real, controle de mudanças IaC, painéis de KPI e cadência de treinamento/exercícios de RI. Mapeia os requisitos do SGSI para tarefas operacionais responsáveis e relatórios.

Última atualização — 19 Jan 2025

Garantia de Qualidade Humana (Precisa QMS): Seleção e Edição em Dois Passos

Programa de garantia de qualidade humana de nível empresarial: seleção seletiva, testes específicos de idioma em 140 idiomas, revisão obrigatória por duas pessoas em cada arquivo, pontuação contínua, editores calibrados e manuseio rigoroso de NDA/exposição mínima, projetado para cargas de trabalho sensíveis a HIPAA/GDPR.

Versão 1.2 — 07 Jan 2025

Política de Gerenciamento de Riscos de Segurança (ISO 27001 / NIST CSF)

Como identificamos, pontuamos, tratamos e governamos os riscos: revisões trimestrais, Revisão de Liderança de Segurança executiva, aprovação de risco residual, mapeamento de controles para ISO 27001/27017/27018, NIST CSF, PCI DSS e OWASP ASVS; integra-se com controle de acesso, continuidade, classificação e resposta a incidentes.

Versão 1.2 — 07 Jan 2025

Política de Processamento Apenas Humano (Zero IA, Se necessário)

Uma postura clara de garantia ao cliente: nenhum sistema de IA processa dados de clientes. Bloqueos de rede e endpoint, lista branca de software, auditorias mensais, treinamento de integração/anual e aplicação disciplinar através do processo de incidentes do SGSI. Ideal para compromissos regulamentados e sensíveis à privacidade.