← Trust & Compliance Center
ENP Ecosystem · Global Compliance Framework v1.0
Information Security Policy
Versão 1.0 · Última atualização: 8 de junho de 2026
CloudinTecEnengin
Esta política resume o programa de segurança do ENP Ecosystem, alinhado com as práticas de ISO/IEC 27001, SOC 2 e o NIST Cybersecurity Framework. A CloudinTec é responsável pela segurança da infraestrutura; a Enengin pela segurança aplicacional e de IA.
1. Medidas técnicas
- Encriptação em trânsito (TLS 1.2+/HTTPS, HSTS) e em repouso;
- Isolamento por tenant — segregação lógica de dados e ambientes; um tenant não acede a recursos de outro;
- Controlo de acessos — RBAC, MFA, princípio do menor privilégio, separação entre papéis de plataforma e de tenant;
- Gestão de segredos — chaves e credenciais em cofre; BYOK encriptado por tenant (AES-256-GCM);
- Registos e monitorização — audit logs com redação de PII, métricas (Prometheus), alertas;
- Resiliência — backups automáticos, disaster recovery, alta disponibilidade, degradação graciosa;
- Proteção de rede — firewall, proteção DDoS, allowlist de IP por tenant, rate limiting;
- Gestão de vulnerabilidades — scanning de dependências, atualização de patches, segregação de ambientes (dev/staging/prod).
2. Medidas organizativas
- Políticas internas, formação de segurança e deveres de confidencialidade;
- Gestão de acessos baseada em necessidade (joiner/mover/leaver);
- Avaliação de fornecedores (Vendor Management) e due diligence de subprocessadores;
- Revisões periódicas e gestão de risco.
3. Segurança aplicacional e de IA
Validação de input nas fronteiras (esquemas), proteção contra injeção e prompt injection, isolamento de execução de agentes, limites de custo e profundidade, aprovação humana para ações críticas e rollback. Ver AI Governance.
4. Resposta a incidentes
Processo documentado de deteção, contenção, erradicação, recuperação e lições aprendidas, com notificação a clientes e autoridades quando exigido — ver Incident Response.
5. Reporte de vulnerabilidades
Investigadores e clientes podem reportar vulnerabilidades para security@enengin.com. Não tomamos ações legais contra investigação de boa-fé que respeite os limites de divulgação responsável.