Esta Política de Segurança da Informação integra as práticas de governança do Portal EmCotia, administrado pela JM Sites Marketing & Negócios. Seu objetivo é apresentar publicamente os compromissos gerais adotados para proteção das informações, dos usuários, dos anunciantes e da continuidade dos serviços.
1 Objetivo
Esta política estabelece princípios e diretrizes gerais para proteger dados, sistemas, aplicações, infraestrutura, informações comerciais e demais ativos utilizados na operação do Portal EmCotia.
As medidas buscam reduzir riscos de acesso não autorizado, fraude, indisponibilidade, alteração indevida, perda, vazamento, destruição ou tratamento inadequado de informações.
2 Abrangência
Esta política aplica-se, conforme o contexto, a:
- Visitantes e usuários do Portal.
- Anunciantes, assinantes e representantes de empresas.
- Colaboradores e prestadores autorizados.
- Fornecedores de tecnologia e operadores de dados.
- Sistemas, páginas, ferramentas e formulários.
- Áreas administrativas e contas de acesso.
- Integrações, APIs e serviços de terceiros.
- Dados pessoais, comerciais, técnicos e financeiros.
- Dispositivos e ambientes utilizados na operação.
3 Princípios de segurança
4 Governança e melhoria contínua
A segurança da informação é tratada como processo contínuo, sujeito a revisão, atualização e melhoria conforme a evolução das ameaças, tecnologias, serviços e requisitos legais.
A JM Sites poderá:
- Revisar controles e procedimentos internos.
- Atualizar sistemas, aplicações e componentes.
- Substituir fornecedores ou tecnologias.
- Implementar novas camadas de proteção.
- Restringir temporariamente funcionalidades.
- Exigir medidas adicionais de autenticação.
- Reavaliar permissões e acessos.
- Realizar manutenção preventiva ou corretiva.
Medidas de segurança poderão ser implementadas sem aviso prévio quando forem necessárias para proteger usuários, anunciantes, dados, sistemas ou a continuidade da operação.
5 Medidas técnicas e administrativas
Conforme a natureza do serviço e os riscos identificados, poderão ser utilizadas medidas como:
- Comunicação protegida por HTTPS e TLS.
- Controles de acesso e autenticação.
- Políticas de senhas e proteção de credenciais.
- Restrição de permissões administrativas.
- Firewall e proteção de aplicações web.
- Proteção contra ataques automatizados e força bruta.
- Monitoramento de eventos e atividades suspeitas.
- Registros técnicos e logs de segurança.
- Atualizações de software e correções de segurança.
- Verificação de arquivos, códigos e componentes.
- Backups e procedimentos de recuperação.
- Proteção contra malware e códigos maliciosos.
- Segmentação de acessos e responsabilidades.
- Revisão de fornecedores e integrações.
- Medidas de prevenção de fraude e abuso.
Por segurança, esta política não divulga endereços internos, regras específicas de firewall, frequência exata de backup, arquitetura de rede, credenciais ou detalhes que possam facilitar ataques.
6 Controle de acesso
O acesso a áreas administrativas, informações, ferramentas e recursos internos deverá observar a necessidade operacional e as responsabilidades atribuídas.
Os controles poderão incluir:
- Identificação individual de usuários autorizados.
- Senhas ou métodos adicionais de autenticação.
- Limitação de tentativas de acesso.
- Registro de acessos e alterações relevantes.
- Revisão periódica de permissões.
- Revogação de acessos desnecessários.
- Bloqueio preventivo de atividades suspeitas.
- Separação entre funções administrativas e operacionais.
Contas e credenciais não devem ser compartilhadas sem autorização expressa.
7 Proteção de dados pessoais
Os dados pessoais tratados pelo Portal deverão receber medidas de proteção compatíveis com sua natureza, finalidade, volume, contexto e riscos.
O acesso a dados pessoais será limitado às pessoas, fornecedores ou sistemas que necessitem dessas informações para finalidades legítimas.
As regras completas sobre coleta, uso, compartilhamento, retenção e direitos dos titulares estão disponíveis na Política de Privacidade e Proteção de Dados .
8 Segurança dos pagamentos
Pagamentos poderão ser processados por instituições, plataformas e intermediadores financeiros especializados.
O Portal EmCotia não armazena diretamente números completos de cartões, códigos de segurança ou senhas bancárias.
Os meios de pagamento poderão aplicar seus próprios controles de segurança, autenticação, análise antifraude, registro e contestação.
Transações suspeitas poderão ser suspensas, recusadas ou submetidas a confirmação adicional.
9 Fornecedores e serviços de terceiros
O Portal poderá utilizar fornecedores de hospedagem, segurança, backup, análise, comunicação, pagamentos, mapas, publicidade e outras tecnologias.
Sempre que razoavelmente possível, os fornecedores serão avaliados considerando:
- Natureza do serviço prestado.
- Dados e acessos necessários.
- Medidas de segurança disponíveis.
- Condições contratuais e responsabilidades.
- Histórico e reputação técnica.
- Capacidade de resposta a incidentes.
- Continuidade e disponibilidade do serviço.
Serviços de terceiros possuem políticas e controles próprios, podendo ocorrer eventos fora do controle direto da JM Sites.
10 Responsabilidades dos usuários e anunciantes
Usuários e anunciantes também devem adotar práticas de segurança compatíveis com a utilização do Portal.
São responsabilidades recomendadas:
- Utilizar senhas fortes e exclusivas.
- Não compartilhar credenciais.
- Manter navegador e sistema atualizados.
- Utilizar dispositivos protegidos e confiáveis.
- Verificar remetentes, links e mensagens suspeitas.
- Não fornecer códigos de autenticação a terceiros.
- Encerrar sessões em dispositivos compartilhados.
- Comunicar imediatamente atividades não reconhecidas.
- Manter dados de contato atualizados.
- Evitar o envio desnecessário de dados sensíveis.
Atenção a fraudes e engenharia social
A JM Sites não solicitará senhas bancárias, códigos de segurança de cartão ou credenciais completas de acesso por mensagens informais.
Em caso de dúvida, o usuário deverá confirmar a solicitação pelos canais oficiais.
11 Atividades proibidas
Sem autorização formal e prévia, é proibido:
- Tentar acessar contas, dados ou áreas restritas.
- Explorar vulnerabilidades identificadas.
- Executar ataques de negação de serviço.
- Realizar varreduras invasivas ou automatizadas.
- Introduzir malware, scripts ou códigos maliciosos.
- Realizar engenharia social contra usuários ou equipe.
- Obter, alterar ou excluir dados sem autorização.
- Contornar controles de autenticação ou segurança.
- Testar sistemas de terceiros vinculados ao Portal.
- Divulgar vulnerabilidades antes de sua comunicação responsável.
A identificação de uma possível vulnerabilidade não autoriza sua exploração, ampliação ou utilização para acessar dados além do estritamente necessário para descrever o problema.
12 Comunicação responsável de vulnerabilidades
Usuários, profissionais e pesquisadores que identificarem possível vulnerabilidade poderão comunicá-la de boa-fé pelos canais oficiais antes de qualquer divulgação pública.
O relato deve apresentar, sempre que possível:
- URL ou funcionalidade afetada.
- Descrição objetiva da vulnerabilidade.
- Impacto potencial observado.
- Etapas seguras para reprodução.
- Capturas de tela ou evidências não sensíveis.
- Data e horário aproximado da identificação.
- Dados de contato para retorno.
Relatos responsáveis serão recebidos, avaliados e, quando aplicável, encaminhados para correção, mitigação ou monitoramento.
O envio de um relato não cria obrigação de recompensa, contratação, reconhecimento público ou divulgação de informações técnicas internas.
13 Condições para pesquisa de boa-fé
Para que uma comunicação seja considerada responsável, o pesquisador deverá:
- Evitar acesso a dados pessoais ou comerciais.
- Interromper o teste ao identificar risco ou exposição.
- Não copiar, alterar, excluir ou divulgar informações.
- Não comprometer disponibilidade ou desempenho.
- Não utilizar engenharia social.
- Não instalar mecanismos de persistência.
- Não compartilhar publicamente detalhes antes da correção.
- Fornecer informações suficientes para análise.
- Agir de forma proporcional e de boa-fé.
A política de divulgação responsável não autoriza invasões, testes destrutivos, coleta de dados, exploração continuada ou qualquer conduta ilícita.
14 Incidentes de segurança
Para fins desta política, incidente de segurança é um evento confirmado ou suspeito que possa comprometer a confidencialidade, integridade, disponibilidade ou autenticidade de informações e sistemas.
Entre os exemplos estão:
- Acesso não autorizado.
- Vazamento ou exposição de dados.
- Perda, alteração ou destruição de informações.
- Malware ou código malicioso.
- Fraude ou uso indevido de credenciais.
- Indisponibilidade relevante.
- Ataque a sistemas ou aplicações.
- Falha de fornecedor ou integração.
- Envio indevido de informações.
- Roubo ou perda de dispositivo autorizado.
15 Processo de resposta a incidentes
A resposta poderá envolver as seguintes etapas, ajustadas à natureza e à gravidade do evento:
16 Comunicação de incidentes
Quando um incidente envolvendo dados pessoais puder acarretar risco ou dano relevante aos titulares, a JM Sites avaliará a necessidade de comunicação conforme a legislação e a regulamentação aplicável.
A comunicação poderá ser direcionada a:
- Titulares potencialmente afetados.
- Anunciantes e clientes envolvidos.
- Fornecedores ou operadores relacionados.
- Autoridade Nacional de Proteção de Dados.
- Autoridades administrativas, policiais ou judiciais.
- Instituições financeiras ou meios de pagamento.
A comunicação poderá apresentar a natureza do incidente, os dados potencialmente afetados, as medidas adotadas, os riscos avaliados e as providências recomendadas aos titulares.
A comunicação pública ou individual será realizada de forma proporcional ao risco e não deverá divulgar informações técnicas que comprometam a investigação ou ampliem a vulnerabilidade.
17 Preservação de registros
Registros técnicos, logs, comunicações e evidências relacionadas a incidentes poderão ser preservados pelo prazo necessário para:
- Investigar a origem e o impacto do evento.
- Corrigir falhas e prevenir recorrências.
- Cumprir obrigações legais ou regulatórias.
- Cooperar com autoridades competentes.
- Exercer ou defender direitos.
- Comprovar medidas adotadas.
- Gerenciar fraude, abuso e riscos.
O acesso aos registros será restrito às pessoas, sistemas ou fornecedores necessários à respectiva finalidade.
18 Backups e recuperação
O Portal poderá manter rotinas de backup e recuperação adequadas à natureza de seus sistemas, dados e serviços.
As práticas poderão incluir:
- Cópias periódicas de dados e configurações.
- Separação lógica ou física de cópias.
- Controles de acesso aos arquivos de backup.
- Monitoramento das rotinas de cópia.
- Procedimentos de restauração.
- Revisão da integridade das informações recuperadas.
Backup não representa garantia absoluta
A existência de cópias de segurança reduz riscos, mas não garante recuperação integral e imediata em todos os cenários.
A restauração dependerá da natureza do incidente, da integridade das cópias, da disponibilidade dos fornecedores e das condições técnicas existentes.
19 Continuidade dos serviços
Para proteger a operação ou responder a eventos de segurança, a JM Sites poderá:
- Realizar manutenção programada ou emergencial.
- Suspender páginas ou funcionalidades.
- Bloquear acessos, endereços ou dispositivos suspeitos.
- Revogar sessões ou credenciais.
- Desativar temporariamente integrações.
- Limitar tráfego ou requisições automatizadas.
- Alterar rotas ou fornecedores tecnológicos.
- Restaurar versões anteriores de sistemas ou dados.
Essas medidas poderão ser adotadas sem aviso prévio quando a comunicação antecipada ampliar o risco ou comprometer a eficácia da resposta.
20 Limitações e riscos residuais
Nenhum sistema conectado à internet pode ser considerado absolutamente seguro, invulnerável ou permanentemente disponível.
Mesmo com medidas de segurança, podem ocorrer:
- Ataques sofisticados ou ainda desconhecidos.
- Falhas humanas ou de fornecedores.
- Vulnerabilidades em softwares de terceiros.
- Interrupções de energia ou telecomunicações.
- Eventos de força maior.
- Fraudes baseadas em engenharia social.
- Comprometimento de dispositivos do próprio usuário.
O compromisso da JM Sites é adotar medidas razoáveis, proporcionais e compatíveis com os riscos identificados, buscando prevenir, detectar, responder e melhorar continuamente sua postura de segurança.
21 Cooperação com autoridades
A JM Sites poderá cooperar com autoridades competentes em investigações, incidentes, fraudes, crimes digitais e cumprimento de ordens legais.
Informações serão compartilhadas dentro dos limites necessários e conforme fundamento legal adequado.
O Portal poderá preservar dados e registros quando receber ordem válida ou quando a conservação for necessária ao exercício regular de direitos.
22 Alterações desta política
Esta política poderá ser atualizada em razão de mudanças legais, regulatórias, tecnológicas, operacionais ou na avaliação de riscos do Portal.
A versão vigente será aquela publicada nesta página, acompanhada da data da última atualização.
23 Documentos relacionados
Esta política deve ser interpretada em conjunto com os demais documentos jurídicos e comerciais do Portal EmCotia.
Comunicar incidente ou vulnerabilidade
Envie uma descrição objetiva, a página ou funcionalidade afetada e evidências que não exponham dados pessoais, credenciais ou informações confidenciais.
