Documentos Legais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Versão contratual – anexo vinculante ao DPA e ao Contrato de Prestação de Serviços

Navegue por seções
Resumo: esta Política estabelece obrigações e responsabilidades da MaxMeAI e da CONTRATANTE em Segurança da Informação, abrangendo princípios, controles técnicos e organizacionais, gestão de incidentes (notificação em até 48h), uso de suboperadores, auditoria e continuidade de negócios (RTO 24h / RPO 12h), sob a LGPD.

Documento legal da MaxMe AI

Política de Segurança da Informação da MAXMEAI, Última atualização: 16 setembro de 2025

1. Objeto

O presente documento estabelece as obrigações e responsabilidades da MAXMEAI e da CONTRATANTE em relação à Segurança da Informação, integrando-se como anexo vinculante ao Contrato de Prestação de Serviços e ao Acordo de Tratamento de Dados Pessoais (DPA).

2. Escopo

Esta política aplica-se a todos os dados, sistemas, ativos digitais, plataformas de Inteligência Artificial (IA), suboperadores e colaboradores envolvidos na execução dos serviços contratados pela CONTRATANTE.

3. Princípios de Segurança

  • Confidencialidade: acesso restrito apenas a pessoas autorizadas.
  • Integridade: proteção contra alteração ou destruição não autorizada.
  • Disponibilidade: garantia de acesso contínuo aos serviços e dados.
  • Privacidade by design e by default: implementação de controles desde a concepção das soluções.

4. Medidas Técnicas e Organizacionais

A MAXMEAI compromete-se a adotar, no mínimo, as seguintes medidas:

  • Criptografia de dados em repouso e em trânsito (TLS 1.2+ e AES-256 ou superior);
  • Autenticação multifator e gestão de acessos baseada no princípio do menor privilégio;
  • Segmentação de redes e segregação de ambientes (produção, testes, desenvolvimento);
  • Registro, monitoramento e auditoria de logs de acesso e operações críticas;
  • Backups automáticos, armazenados em local seguro, com testes de recuperação documentados;
  • Monitoramento contínuo de vulnerabilidades e aplicação tempestiva de patches de segurança;
  • Testes de intrusão e auditorias periódicas de conformidade;
  • Programas de conscientização e treinamentos recorrentes em segurança e privacidade para colaboradores e subcontratados.

5. Gestão de Incidentes

Todo incidente de segurança deverá ser reportado imediatamente ao Gestor de Segurança da Informação da MAXMEAI.

A MAXMEAI notificará a CONTRATANTE em até 48 horas após a ciência do incidente, detalhando:

  • Natureza e extensão do impacto;
  • Dados afetados;
  • Medidas corretivas adotadas;
  • Avaliação preliminar de riscos aos titulares.

A CONTRATANTE será responsável por avaliar a necessidade de comunicação à ANPD e aos titulares, em conformidade com a LGPD.

6. Suboperadores e Terceiros

A MAXMEAI poderá utilizar suboperadores para execução dos serviços (ex.: OpenAI, Google Gemini, Anthropic, provedores de nuvem).

  • Os suboperadores deverão cumprir padrões equivalentes de segurança e confidencialidade.
  • Alterações relevantes na lista de suboperadores serão comunicadas à CONTRATANTE com antecedência mínima de 10 (dez) dias úteis.

7. Direitos de Auditoria

A CONTRATANTE poderá realizar auditorias técnicas e documentais, diretamente ou por meio de terceiros, mediante aviso prévio de 15 (quinze) dias úteis.

Auditorias deverão respeitar a proporcionalidade, a confidencialidade e não poderão expor segredos de negócio além do necessário para verificar conformidade.

8. Continuidade de Negócios e Resiliência

A MAXMEAI manterá Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (DRP) atualizados e testados periodicamente.

Indicadores mínimos:

  • RTO (Recovery Time Objective): até 24 horas.
  • RPO (Recovery Point Objective): até 12 horas.

Situações de força maior ou falhas massivas em plataformas de terceiros serão tratadas em cooperação com a CONTRATANTE para mitigar impactos.

9. Responsabilidades da CONTRATANTE

A CONTRATANTE compromete-se a:

  • Fornecer apenas dados lícitos e adequados, com base legal válida;
  • Respeitar instruções e boas práticas de segurança estabelecidas pela MAXMEAI;
  • Notificar imediatamente a MAXMEAI em caso de incidentes ocorridos em sua própria infraestrutura que possam impactar os serviços contratados.

10. Sanções e Responsabilidade

O descumprimento desta política sujeitará a Parte infratora às penalidades previstas no contrato principal, incluindo multas, indenizações e possibilidade de rescisão por justa causa.

A responsabilidade total da MAXMEAI será limitada ao valor total pago pela CONTRATANTE nos 12 (doze) meses anteriores ao evento, exceto em casos de dolo ou fraude comprovada.

11. Vigência

Esta política entra em vigor na data de assinatura do contrato principal e permanecerá válida durante toda a relação contratual, inclusive em períodos de retenção obrigatória de dados.

12. Lei Aplicável e Foro

Este documento será regido pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018), sendo eleito o foro da comarca de São Paulo/SP para dirimir eventuais controvérsias.

📌 Integração Contratual

Integração contratual: Esta política faz parte integrante do Contrato de Prestação de Serviços da MAXMEAI e do DPA (Acordo de Tratamento de Dados), vinculando-se automaticamente a ambos.

Contato para Segurança da Informação: contato @ info . maxmeai . com