Seja bem-vinda(o) ao Framework de Compliance da Pragmatismo. Este documento representa nosso compromisso com a excelência operacional e conformidade regulatória no desenvolvimento e operação do General Bots e todos os nossos sistemas de tecnologia. Este framework foi desenvolvido para garantir que todas as operações da empresa estejam em conformidade com as normas ISO 27001, HIPAA e LGPD, assegurando a proteção de dados, a privacidade e a segurança da informação.
Caso identifique um padrão positivo em nossas atividades que possa ser generalizado ou tenha sugestões para aprimorar nosso framework de compliance, envie um e-mail para metodologia@Pragmatismo para avaliação. Opte sempre por descentralizar o conhecimento, editando estes artigos e compartilhando os métodos de trabalho mais seguros, eficazes e em conformidade com os padrões regulatórios.
* [1. Introdução](index.md)
* [2. Comunicação](chapter-02-Communication.md)
* [3. ALM](chapter-03-ALM.md)
* [4. Automação](chapter-04-Automation.md)
* [5. Ciência de Dados & IoT](chapter-05-Data%20Science%20%26%20IoT.md)
* [6. Ferramentas](chapter-06-Tools.md)
* [7. Artes, Design e Produção de Mídia](chapter-07-Arts%2C%20Design%20and%20Media%20Production.md)
* [8. Políticas de Segurança da Informação](chapter-08-Information%20Security%20Policies.md)
* [9. Gestão de Riscos](chapter-09-Risk%20Management.md)
* [10. Gestão de Conformidade](chapter-10-Compliance%20Management.md)
* [11. Gestão de Incidentes](chapter-11-Incident%20Management.md)
* [12. Continuidade de Negócios](business-continuity-managment)
* [Direitos Autorais](copyright.md)
* [Glossário](glossary.md)
## 1.1 Objetivo do Framework
Este framework tem como objetivo:
1.**Estabelecer Conformidade**: Garantir que todas as operações da Pragmatismo estejam em conformidade com ISO 27001, HIPAA e LGPD;
2.**Proteger Dados**: Implementar controles técnicos e administrativos para proteger dados sensíveis;
3.**Gerenciar Riscos**: Identificar, avaliar e mitigar riscos de segurança da informação;
4.**Criar Cultura de Segurança**: Promover uma cultura organizacional que valorize a segurança da informação;
5.**Garantir Continuidade de Negócios**: Implementar procedimentos para garantir a resiliência operacional.
## 1.2 Escopo de Aplicação
Este framework se aplica a:
1. Todos os colaboradores da Pragmatismo;
2. Sistemas e plataformas de desenvolvimento do General Bots;
3. Processos de desenvolvimento de software;
4. Infraestrutura de TI e operações;
5. Gestão de dados e informações dos clientes;
6. Relacionamento com fornecedores e parceiros.
## 1.4 Normas Gerais de Compliance
1. Todas as atividades da companhia devem ocorrer de acordo com a NR 17: http://www.trt02.gov.br/geral/tribunal2/LEGIS/CLT/NRs/NR_17.html;
2. Todas as operações devem estar em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), ISO 27001 e HIPAA (quando aplicável);
3. Os colaboradores devem participar de treinamentos regulares sobre segurança da informação e proteção de dados;
4. A empresa deve manter um Inventário de Ativos de Informação atualizado;
5. Revisões periódicas das políticas de segurança e conformidade devem ser realizadas pelo menos anualmente;
6. Cada participante do projeto deve contribuir durante a construção do projeto com um artigo em sua área para a companhia;
7. Salvo restrições contratuais informadas em cada caso, de modo simultâneo e coordenado, as novas tecnologias, comportamentos, padronizações, metodologias e outros novos artefatos para projetos em desenvolvimento resultam contribuições para projetos modelo da companhia;
8. Construir artefatos de código apenas com requisitos e macro-tarefas associadas;
9. Sempre verificar com a gerência do projeto e produto a viabilidade de introduzir ou refatorar código com BDD, TDD e/ou código-fonte literal;
10. Certifique-se de que termos, contratos e certificações estão em dia de acordo as instruções individuais de cada documento.
## 1.5 Matriz de Conformidade
A seguir, apresentamos nossa matriz de conformidade com os principais requisitos das normas ISO 27001, HIPAA e LGPD:
| Requisito | Padrão | Status | Implementação |
|-----------|--------|--------|---------------|
| **Segurança de Rede** | | | |
| TLS 1.3 Configuration | ISO 27001, HIPAA, LGPD | ✅ | Configure modern SSL parameters and ciphers in /etc/nginx/conf.d/ssl.conf |
| Access Logging | ISO 27001, HIPAA, LGPD | ✅ | Enable detailed access logs with privacy fields in /etc/nginx/nginx.conf |
| Rate Limiting | ISO 27001 | ⬜ | Implement rate limiting rules in location blocks |
| WAF Rules | HIPAA | ⬜ | Install and configure ModSecurity with OWASP rules |
