Política de Segurança

• Defesa em profundidade — múltiplas camadas independentes de proteção.
• Menor privilégio — acessos sempre justificados, temporários e revisados.
• Segregação de funções — quem desenvolve não publica em produção sem aprovação.
• Auditabilidade — toda ação privilegiada é registrada e revisada.

• Criptografia em trânsito (TLS 1.3) e em repouso (AES-256);
• MFA obrigatório em todos os ambientes corporativos;
• Gestão de segredos via KMS, rotação automática a cada 90 dias;
• WAF, rate-limiting e proteção contra OWASP Top 10;
• Análise estática (SAST) e de dependências (SCA) em todo pipeline CI;
• Pentest anual com terceira parte independente.

• Background check para colaboradores com acesso a dados sensíveis;
• Treinamento anual obrigatório em segurança e LGPD;
• Política de mesa limpa, tela limpa e dispositivos gerenciados;
• NDA mútuo padrão antes de qualquer engajamento técnico.

Operamos programa contínuo de identificação, classificação e remediação de vulnerabilidades. Severidades críticas são tratadas em até 24h; altas em até 7 dias; médias no ciclo de release subsequente.

• Backups diários criptografados, com retenção mínima de 30 dias;
• Testes de restore trimestrais;
• RPO ≤ 1h e RTO ≤ 4h para ambientes críticos (ajustável por SLA).

Pesquisadores e clientes podem reportar vulnerabilidades para security@migsv.com.br. Reconhecemos publicamente relatos responsáveis e nos comprometemos a responder em até 72 horas úteis.