👤 Encarregado de Dados (DPO)

Leoccadio Barbosa Da Silva De Serpa Brandão Júnior

Cargo: Coordenador de Operações

E-mail: [email protected]

Canal geral: [email protected]

Nomeação formalizada em 2026-05-04.

📜 Política de Privacidade v1.1

Política pública em conformidade com a LGPD (Lei 13.709/2018), descrevendo dados coletados, bases legais, sub-operadores, transferência internacional, retenção, direitos do titular e canal ANPD.

• Versão pública (ofris.tech)
• Versão pública (grupoofris.com.br)

Próxima revisão: maio/2027.

📋 ROPA — Registro de Operações v1.0

Registro de Operações de Tratamento de Dados Pessoais (Art. 37 LGPD), cobrindo 9 atividades:

• Atendimento WhatsApp (oficial Meta)
• WhatsApp Supervisoras
• Cadastro de revendedores (VD)
• Gestão de RH e folha
• Certificados digitais A1
• Logs de auditoria
• Leads do site institucional
• Pesquisas internas (Botistop)
• Integração SEFAZ

Revisão semestral. Próxima: 04/11/2026.

🔑 Política de Senha v1.0

• Mínimo 8 caracteres + complexidade obrigatória (maiúscula, minúscula, dígito, símbolo)
• Hash bcrypt com salt aleatório
• Bloqueio de IP após 10 tentativas falhas em 5 min
• Geo-bloqueio: somente acessos do Brasil (CF-IPCountry=BR)
• Sessão JWT expira em 8h, cookie HttpOnly + Secure + SameSite=Lax
• Revogação de acesso em até 24h após desligamento
• Não compartilhamento de senha entre colaboradores

🏷️ Classificação da Informação v1.0

Quatro níveis: Pública, Interna, Confidencial, Restrita.

• Restrita: senhas, certificados A1, chaves Fernet/JWT, tokens Meta, logs de auditoria, dados de saúde
• Confidencial: cadastro de clientes/revendedores, RH, mensagens WhatsApp, fiscal
• Interna: treinamentos, pesquisas, manuais
• Pública: site institucional, política de privacidade

Não usar IA pública (ChatGPT etc.) com dados Confidenciais ou Restritos.

🤝 Gestão de Terceiros v1.0

Sub-operadores ativos com DPA: Meta, Microsoft 365, Cloudflare, Tailscale, Slack, GitHub, Anthropic, banco, contabilidade.

• Revisão semestral do inventário
• DPA / cláusula LGPD obrigatórios para novos contratos
• Notificação de incidente em terceiro: GB em 24h, ANPD em até 72h

📄 NDA / Confidencialidade

O termo de confidencialidade está incluso no Regulamento Interno assinado por todo colaborador na admissão.

As assinaturas eletrônicas ficam custodiadas no app Assinaturas deste sistema, vinculadas ao colaborador via CPF.

🛡️ Controles técnicos em produção

• TLS público via Cloudflare Tunnel (sem porta exposta)
• Geo-bloqueio: somente requisições do Brasil
• RBAC granular por aplicação e permissão
• Auditoria de logins e ações sensíveis
• Certificados A1 cifrados com Fernet/AES-128
• Rede privada Tailscale para acesso administrativo
• PgBouncer com SCRAM-SHA-256
• Headers de segurança no nginx (CSP, X-Frame-Options, Referrer-Policy)
• CORS restrito a ofris.tech / ofris.app

💾 Backup

• Banco cp_dwh: dump diário puxado pelo tiago-tower (Windows+WSL) via Tailscale — conexão unidirecional, servidor não acessa o backup
• Snapshots locais em ~/docker-snapshots/
• Código-fonte: repositório privado no GitHub (sem .env ou dados pessoais)
• a fazer Auditar agendamento, retenção e BitLocker no tiago-tower (I-18)
• a fazer Cifrar dump com GPG/age antes do armazenamento (I-05)

🚨 Resposta a Incidente

• Suspeita reportada imediatamente ao DPO
• Comunicação ao Grupo Boticário em até 24h
• Comunicação à ANPD em até 72h se houver risco relevante
• Comunicação aos titulares afetados conforme Art. 48 LGPD
• a fazer Playbook formal RACI

⏳ Itens adiados (com data de reavaliação)

• adiado Anonimização automatizada (LGPD Art. 18) — reavaliar em 04/08/2026 após análise de impacto em relatórios
• adiado Trilha de treinamento LGPD obrigatória — após estabilização do app Treinamentos
• adiado 2FA / TOTP no login admin — reavaliar em 01/07/2026

📞 Como exercer direitos LGPD

Titulares de dados podem solicitar acesso, correção, anonimização, eliminação, portabilidade, revogação de consentimento e oposição.

Canal: [email protected] (assunto: Solicitação LGPD) — prazo de resposta: 15 dias.

Reclamações à ANPD: gov.br/anpd