Conhecer os Planos
Youtube Instagram Facebook
Conhecer os Planos
Youtube Instagram Facebook

Política de Segurança

Última atualização: 13/03/2026 

 

  1. APRESENTAÇÃO E COMPROMISSO

LUMYFLOW tem como pilar a proteção dos dados pessoais e a privacidade dos clientes. Esta Política de Segurança da Informação descreve as medidas técnicas, administrativas e organizacionais adotadas para garantir a confidencialidade, integridade e disponibilidade das informações tratadas em nossa plataforma. 

Nosso compromisso é com a transparência ativa: informar claramente como protegemos os dados, sem comprometer segredos industriais ou expor vulnerabilidades. 

 

  1. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

A LUMYFLOW adota os seguintes princípios fundamentais em todos os processos que envolvem tratamento de dados: 

Princípio 

Aplicação 

Confidencialidade 

Garantir que apenas pessoas autorizadas tenham acesso aos dados 

Integridade 

Assegurar que os dados não sejam alterados ou corrompidos indevidamente 

Disponibilidade 

Manter os dados e serviços acessíveis quando necessário 

Autenticidade 

Garantir a identidade de quem acessa ou fornece os dados 

Irretratabilidade 

Assegurar que ações e transações não possam ser negadas posteriormente 

 

  1. MEDIDAS TÉCNICAS DE SEGURANÇA IMPLEMENTADAS

3.1. Criptografia 

Camada 

Tecnologia 

Aplicação 

Em trânsito 

SSL/TLS 1.3 

Todas as comunicações entre o navegador do cliente e os servidores da LUMYFLOW são criptografadas, garantindo que dados transmitidos (relatos de sonhos, informações cadastrais) não possam ser interceptados ou lidos por terceiros. 

Em repouso 

AES-256 

Dados armazenados em nossos bancos de dados e backups são criptografados utilizando o padrão AES-256, considerado padrão ouro pela indústria e utilizado por instituições financeiras e governos. 

Backups 

AES-256 

Todas as cópias de segurança (backups) são igualmente criptografadas e armazenadas em localizações geograficamente distintas e isoladas da rede principal. 

3.2. Controle de Acesso 

  • Autenticação Multifator (MFA): Obrigatória para todos os acessos administrativos à infraestrutura, painéis de controle e sistemas internos. 
  • Princípio do Privilégio Mínimo: Cada colaborador ou sistema tem acesso apenas aos dados e funcionalidades estritamente necessários para o desempenho de suas funções. 
  • Registro de Acessos (Logs): Todos os acessos a dados pessoais são registrados com identificação do usuário, data, hora, IP e ação realizada, permitindo auditoria posterior. 

3.3. Infraestrutura e Rede 

  • Firewalls de Próxima Geração: Proteção contra acessos não autorizados, ataques de negação de serviço (DDoS) e varreduras maliciosas. 
  • Segmentação de Rede: Ambientes de produção, desenvolvimento e testes são completamente isolados, garantindo que eventuais vulnerabilidades em um ambiente não afetem os dados reais dos clientes. 
  • Monitoramento Contínuo: Sistemas de detecção e prevenção de intrusões (IDS/IPS) monitoram 24/7 toda a atividade da rede, com alertas em tempo real para atividades suspeitas. 

 

  1. MEDIDAS ORGANIZACIONAIS E ADMINISTRATIVAS

4.1. Política de Acesso de Colaboradores 

  • Todo colaborador assina Termo de Confidencialidade e Responsabilidade. 
  • Acesso a dados de clientes é restrito a funções que exijam esse contato (ex.: suporte técnico, curadoria humana no plano Premium). 
  • Acesso remoto à infraestrutura só é permitido via VPN corporativa com autenticação multifator. 

4.2. Gestão de Fornecedores e Terceiros 

  • Todos os provedores de serviço (incluindo provedores de IA, hospedagem e processamento de pagamentos) são rigorosamente avaliados quanto à conformidade com a LGPD e adoção de medidas de segurança compatíveis. 
  • São firmados contratos com cláusulas específicas de proteção de dados, responsabilizando os terceiros por eventuais violações. 
  • A LUMYFLOW realiza due diligence periódica em seus fornecedores críticos. 

4.3. Plano de Resposta a Incidentes 

A LUMYFLOW mantém um Plano de Resposta a Incidentes de Segurança documentado, contemplando: 

  1. Identificação: Detecção de possível violação ou incidente 
  1. Contenção: Medidas imediatas para limitar o impacto 
  1. Eliminação: Remoção da causa raiz 
  1. Recuperação: Restauração de sistemas e dados a partir de backups íntegros 
  1. Comunicação: Notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, nos prazos e termos da LGPD 
  1. Pós-incidente: Análise de causas e implementação de melhorias 

 

  1. PROTEÇÃO CONTRA VAZAMENTO DE DADOS (DLP)

Implementamos medidas de Prevenção contra Perda de Dados (Data Loss Prevention – DLP) para evitar que informações sigilosas sejam indevidamente extraídas ou compartilhadas: 

  • Bloqueio automático de tentativas de transferência de grandes volumes de dados 
  • Monitoramento de acessos incompatíveis com o perfil do usuário 
  • Controles de cópia (download, impressão, compartilhamento) para dados sensíveis 

 

  1. GESTÃO DE BACKUPS E CONTINUIDADE DE NEGÓCIOS

Aspecto 

Especificação 

Frequência 

Backups completos diários e backups incrementais a cada 6 horas 

Retenção 

Mínimo de 30 dias para recuperação imediata; cópias mensais retidas por 12 meses 

Testes 

Testes de restauração realizados trimestralmente para garantir a integridade dos backups 

Redundância 

Backups armazenados em, no mínimo, duas localizações geográficas distintas 

Em caso de indisponibilidade do ambiente principal, o Plano de Continuidade de Negócios prevê a ativação do ambiente secundário em até 4 horas, com perda máxima de dados de 6 horas (RPO – Recovery Point Objective). 

 

  1. SEGURANÇA NO DESENVOLVIMENTO (SDLC)

Todas as aplicações e funcionalidades desenvolvidas pela LUMYFLOW seguem práticas de Segurança no Ciclo de Desenvolvimento de Software (Secure SDLC): 

  • Revisões de código com foco em segurança 
  • Testes de penetração (pentest) anuais em ambiente controlado 
  • Varreduras automatizadas de vulnerabilidades (SAST/DAST) antes de cada deploy 
  • Ambiente de homologação idêntico ao de produção para testes seguros 

 

  1. CONSCIENTIZAÇÃO E TREINAMENTO

Todo colaborador da LUMYFLOW recebe: 

  • Treinamento inicial obrigatório sobre segurança da informação e LGPD 
  • Atualizações periódicas sobre novas ameaças e boas práticas 
  • Testes simulados de phishing para reforçar a cultura de segurança 

 

  1. RELATÓRIO DE TRANSPARÊNCIA

A LUMYFLOW publica anualmente um Relatório de Transparência e Segurança com indicadores como: 

  • Número de solicitações de autoridades por dados de clientes 
  • Número de incidentes de segurança ocorridos (se houver) 
  • Resultados de auditorias e certificações obtidas 

 

  1. RESPONSABILIDADE DO CLIENTE

A segurança é uma via de mão dupla. O CLIENTE também tem responsabilidades: 

  • Manter seu e-mail e senha de acesso em sigilo 
  • Utilizar senhas fortes e não reutilizadas em outros serviços 
  • Comunicar imediatamente qualquer suspeita de acesso não autorizado à sua conta 
  • Não incluir nos relatos informações sensíveis desnecessárias (dados bancários, documentos, etc.) 

 

  1. CANAL DE COMUNICAÇÃO DE VULNERABILIDADES

Caso você, pesquisador de segurança ou cliente, identifique uma possível vulnerabilidade na plataforma LUMYFLOW, pedimos que nos avise imediatamente e de forma responsável: 

E-mail exclusivo: [seguranca@lumyflow.com] 
Prazo para resposta inicial: 48 horas úteis 
Política de Divulgação Responsável: Não divulgue publicamente a vulnerabilidade antes que tenhamos tido a chance de analisar e corrigir. Trabalhamos em parceria com a comunidade de segurança e agradecemos contribuições. 

 

  1. CONFORMIDADE E AUDITORIA

A LUMYFLOW submete seus processos e medidas de segurança a auditorias independentes periódicas, buscando alinhamento com: 

  • Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) 
  • Normas ISO/IEC 27001 (em implementação) 
  • Padrões de segurança do setor de meios de pagamento (PCI DSS, indiretamente) 

 

  1. ALTERAÇÕES NESTA POLÍTICA

Esta Política de Segurança poderá ser atualizada para refletir melhorias, novas tecnologias ou mudanças na legislação. Alterações significativas serão comunicadas: 

  • Por e-mail para clientes ativos 
  • Por aviso destacado no site por 30 dias 

 

Em caso de dúvidas sobre esta Política de Segurança, entre em contato com nosso Encarregado de Dados (DPO) através do E-mail: seguranca@lumyflow.com 

 

Esta Política de Segurança entra em vigor em 13/03/2026.