Política de segurança
Segurança tratada como método operacional, não como promessa vaga.
Esta política estabelece os princípios mínimos que orientam a proteção da informação, dos sistemas, dos clientes e das evidências técnicas tratadas pela Índico Cyber Systems, S.A.
Princípios
Regras de base para qualquer operação.
Aplicamos estes princípios antes de qualquer teste ofensivo, resposta a incidente, auditoria, implementação ou operação contínua.
- Confidencialidade absoluta sobre clientes, evidências, credenciais, IOCs, arquiteturas e resultados técnicos.
- Operações ofensivas apenas com autorização explícita, escrita, delimitada e emitida por representante competente do cliente.
- Princípio do menor privilégio em acessos internos, contas administrativas, ambientes de cliente e ferramentas operacionais.
- Separação entre ambientes, clientes, evidências e artefactos de trabalho, com tratamento need-to-know.
- Registo de decisões técnicas, cadeia de custódia e preservação de evidência quando aplicável.
- Proteção de dados pessoais e informação sensível conforme legislação moçambicana e obrigações contratuais.
Controlos internos
Como protegemos informação e evidência.
Os controlos são ajustados ao tipo de projeto e ao nível de sensibilidade dos dados, mas partem sempre de uma base operacional comum.
- Controlo de acesso, autenticação forte e revisão periódica de permissões.
- Gestão segura de segredos, credenciais, chaves, tokens e material sensível.
- Criptografia em trânsito e, quando aplicável, em repouso para dados e evidências.
- Hardening de endpoints, servidores, ferramentas internas e ambientes cloud.
- Gestão de vulnerabilidades, atualização de sistemas e correção baseada em risco.
- Backups, continuidade operacional e procedimentos de recuperação.
- Logging, monitorização, triagem e resposta a eventos de segurança.
- Remoção segura, retenção limitada e destruição de evidências conforme contrato.
Compromissos com clientes
Clareza antes, durante e depois do trabalho.
A relação técnica só funciona quando escopo, canais, limites e responsabilidades estão claros.
- A ICS não divulga nomes de clientes, incidentes ou resultados sem autorização expressa.
- Relatórios técnicos são partilhados apenas com destinatários acordados.
- Credenciais fornecidas por clientes são tratadas como segredo crítico e removidas ao fim do engajamento, salvo retenção contratual.
- Qualquer achado crítico identificado durante operação é comunicado por canal definido com o cliente.
- Atividades de teste respeitam escopo, janelas operacionais, limites técnicos e regras de interrupção acordadas.
Resposta a incidentes
Em caso de incidente de segurança, a ICS prioriza contenção, preservação de evidência, comunicação controlada, análise técnica e recuperação. A equipa evita ações destrutivas sem autorização do cliente e documenta decisões relevantes para posterior revisão.
Testes ofensivos
Pentests, red teaming, adversary emulation e simulações de engenharia social só são executados mediante autorização escrita, escopo aprovado, janelas acordadas e contactos de emergência definidos. Sistemas fora de escopo não são testados.
Dados pessoais e confidenciais
Dados pessoais, dados comerciais, credenciais, logs, capturas, relatórios e artefactos técnicos são tratados de forma confidencial, com retenção limitada ao necessário para execução contratual, obrigação legal ou necessidade técnica acordada.
Fornecedores e ferramentas
Sempre que a ICS utiliza fornecedores ou ferramentas de terceiros, são aplicados critérios de necessidade, segurança, limitação de dados e adequação ao contexto do cliente.
Revisão da política
Esta política é revista periodicamente e pode ser complementada por acordos específicos, políticas de cliente, NDA, termos de engajamento, data processing agreements e requisitos setoriais aplicáveis.
Confidencialidade desde o primeiro contacto
Partilhe contexto sensível apenas pelo canal combinado.
Para informação altamente sensível, solicite previamente canal cifrado, NDA ou protocolo de comunicação dedicado.