CMN 5.274/2025 · BCB 538/2025 · OWASP API TOP 10

Segurança da Informação

Última atualização: 01 de abril de 2026

Esta página descreve os controles de segurança da informação da Fidenza Capital, alinhados à Resolução CMN nº 5.274/2025 (Política de Segurança Cibernética — PSC), à Circular BCB nº 538/2025 (PSIBC — Plano de Segurança e Continuidade de Negócios) e ao OWASP API Security Top 10.

14 CONTROLES CMN 5.274/2025

01Autenticação multifator

TOTP + step-up por tier de acesso.

02Criptografia em repouso

AES-256-GCM para dados sensíveis (PII, chaves).

03Criptografia em trânsito

TLS 1.3 obrigatório — HTTP → HTTPS redirect.

04Prevenção de vazamento de dados

PII criptografado, source maps desabilitados em prod.

05Proteção contra malware

WAF multi-camadas: Log4Shell, SSTI, XXE, SQLi, XSS.

⚠️
06Segurança no desenvolvimento

ESLint sem bloqueio no build; SAST automatizado pendente.

⚠️
07Gestão de vulnerabilidades

Pentest manual realizado; scan contínuo em implementação.

08Controle de acesso privilegiado

RBAC + Row-Level Security (RLS) PostgreSQL.

09Monitoramento e auditoria

AuditLogger + trigger imutável em PostgreSQL.

⚠️
10Gestão de incidentes

Processo manual; playbook formal em elaboração.

⚠️
11Continuidade do negócio

Vercel HA implícito; DRP formal em elaboração.

⚠️
12Gestão de fornecedores

Asaas/Vercel/Supabase listados; due diligence formal pendente.

⚠️
13Conscientização em segurança

Programa formal em elaboração.

⚠️
14Testes de segurança (obrigatório)

Realizado em 2026-03-05; frequência definida: trimestral.

OWASP API SECURITY TOP 10 — COBERTURA

  • API1 — Broken Object Level Auth: RBAC + RLS PostgreSQL por user_id
  • API2 — Broken Auth: JWT HS256 + httpOnly cookie + device fingerprint
  • API3 — Broken Object Property Auth: Campos sensíveis nunca retornados em listagens
  • API4 — Unrestricted Resource Consumption: Rate limiting por IP e por endpoint
  • API5 — Broken Function Level Auth: requireAdmin() em todas as rotas privilegiadas
  • API6 — Server-Side Request Forgery: Validação de URLs internas, nenhuma proxy pública
  • API7 — Security Misconfiguration: Headers HSTS, CSP, X-Frame-Options ativos
  • API8 — Lack of Protection from Automated Threats: Rate limit + WAF + honeypot routes
  • API9 — Improper Inventory Management: 264 endpoints documentados e auditados
  • API10 — Unsafe Consumption of APIs: Timeout + retry com backoff em chamadas externas

TESTES DE SEGURANÇA

  • Frequência: trimestral (próximo: 2026-06-05)
  • Escopo: IDOR, JWT confusion, timing attack, CSRF, TOCTOU, SQLi, XSS, SSRF
  • Metodologia: OWASP Testing Guide v4.2 + PTES
  • Resultado 2026-03-05: todas as vulnerabilidades identificadas corrigidas
  • Responsável: equipe interna + pentest externo anual

LEI 105/2001 — SIGILO BANCÁRIO

Todas as informações financeiras dos clientes são protegidas pelo sigilo bancário (Lei Complementar nº 105/2001). O acesso a dados de terceiros somente ocorre mediante ordem judicial. Funcionários com acesso a dados financeiros assinam Acordo de Confidencialidade (NDA) e passam por verificação de antecedentes.

CONTATO DE SEGURANÇA

Para reportar vulnerabilidades (Responsible Disclosure), entre em contato com security@fidenza.app.br. Respondemos em até 48 horas. Não realizamos prosecution de pesquisadores que agirem de boa fé.

Fidenza Capital · CMN 5.274/2025 · BCB 538/2025 · OWASP · security@fidenza.app.br