Diretrizes de Desenvolvimento
28. Política de Gestão de Backup

Política de Gestão de Backup

1. Introdução

A Toolzz LMS reconhece a importância vital da proteção e disponibilidade contínua dos dados para garantir a confiança de nossos clientes e a continuidade dos negócios. Esta política estabelece diretrizes abrangentes para a gestão eficaz de backups, assegurando a integridade, confidencialidade e disponibilidade dos dados armazenados e processados por nossos sistemas, utilizando os serviços da AWS.

2. Objetivo

Estabelecer procedimentos detalhados e rigorosos para a criação, armazenamento, gerenciamento e recuperação de backups, garantindo que todos os dados essenciais possam ser restaurados de forma rápida e confiável em caso de perda, corrupção ou desastre.

3. Escopo

Esta política aplica-se a todos os dados e sistemas de informação gerenciados pela Toolzz LMS, incluindo, mas não se limitando a, bancos de dados, sistemas de arquivos, aplicativos e componentes de infraestrutura hospedados na AWS. Todos os colaboradores, contratados e terceiros que tenham acesso ou gerenciem dados da empresa devem cumprir esta política.

4. Responsabilidades

  • Diretoria Executiva: Apoiar e garantir a adesão integral a esta política.
  • Departamento de TI: Implementar, gerenciar e monitorar os processos de backup e recuperação.
  • Equipe de Segurança da Informação: Garantir que os backups estejam em conformidade com as políticas de segurança e regulamentações aplicáveis.
  • Colaboradores e Terceiros: Seguir os procedimentos estabelecidos e reportar quaisquer incidentes ou anomalias relacionadas aos backups.

5. Diretrizes de Backup

5.1. Classificação de Dados

  • Dados Críticos: Informações essenciais para as operações da Toolzz LMS, incluindo dados de clientes, transações financeiras e informações confidenciais.
  • Dados Importantes: Dados que suportam as operações, mas cuja perda temporária não causaria impacto imediato significativo.
  • Dados Não Críticos: Informações que podem ser recriadas ou cuja perda não afetaria as operações.

5.2. Frequência de Backup

  • Dados Críticos: Backups incrementais a cada hora e backups completos diários.
  • Dados Importantes: Backups incrementais diários e completos semanais.
  • Dados Não Críticos: Backups completos semanais.

5.3. Tipos de Backup

  • Backup Completo: Cópia completa de todos os dados selecionados.
  • Backup Incremental: Cópia de dados que foram alterados desde o último backup incremental ou completo.
  • Backup Diferencial: Cópia de todos os dados alterados desde o último backup completo.

5.4. Retenção de Backups

  • Dados Críticos: Retenção mínima de 1 ano.
  • Dados Importantes: Retenção mínima de 6 meses.
  • Dados Não Críticos: Retenção mínima de 3 meses.

5.5. Armazenamento de Backups

  • Localização Primária: Utilizar o serviço Amazon S3 com Storage Classes apropriadas, como S3 Standard para backups recentes e S3 Glacier Deep Archive para backups de longo prazo.
  • Localização Secundária (Offsite): Replicação cruzada entre regiões da AWS para garantir redundância geográfica e resiliência a desastres regionais.
  • Criptografia: Todos os backups devem ser criptografados em trânsito e em repouso utilizando AWS Key Management Service (KMS) com chaves gerenciadas pela Toolzz LMS.

6. Procedimentos de Backup

6.1. Configuração Inicial

  • Identificação de Sistemas e Dados: Mapear todos os sistemas, aplicativos e bancos de dados que requerem backup.
  • Configuração de Políticas de Backup: Definir políticas no AWS Backup ou ferramentas apropriadas, alinhadas com as diretrizes desta política.
  • Automação: Implementar scripts e rotinas automatizadas para assegurar a consistência e confiabilidade dos backups.

6.2. Execução de Backups

  • Monitoramento Contínuo: Utilizar AWS CloudWatch e AWS Backup Audit Manager para monitorar a execução e sucesso dos backups.
  • Notificações e Alertas: Configurar alertas para falhas ou anomalias nos processos de backup via AWS SNS.
  • Registros e Logs: Manter logs detalhados de todas as atividades de backup, incluindo data, hora, status e quaisquer erros.

6.3. Testes de Recuperação

  • Testes Regulares: Realizar testes de recuperação (restore) trimestralmente para garantir que os backups possam ser restaurados corretamente.
  • Validação de Integridade: Verificar a integridade dos dados restaurados e a funcionalidade dos sistemas após a recuperação.
  • Documentação: Registrar os resultados dos testes, quaisquer problemas encontrados e ações corretivas tomadas.

7. Segurança dos Backups

7.1. Controle de Acesso

  • Princípio do Menor Privilégio: Restringir o acesso aos backups apenas a pessoal autorizado que necessite dessas informações para suas funções.
  • Autenticação e Autorização: Utilizar AWS Identity and Access Management (IAM) para gerenciar permissões de acesso granulares.
  • Registro de Acessos: Monitorar e registrar todos os acessos aos backups e dados sensíveis.

7.2. Criptografia

  • Em Trânsito: Utilizar protocolos seguros (TLS 1.2 ou superior) para transferência de dados durante o processo de backup.
  • Em Repouso: Implementar criptografia em nível de objeto e de armazenamento utilizando AWS KMS.

7.3. Proteção Contra Ransomware

  • Imutabilidade de Backups: Utilizar AWS S3 Object Lock para criar backups imutáveis que não podem ser modificados ou excluídos durante um período definido.
  • Isolamento de Backups: Armazenar backups em contas ou VPCs separadas para limitar a exposição a ameaças internas ou externas.

8. Continuidade de Negócios e Recuperação de Desastres

  • Planejamento de Recuperação: Desenvolver e manter planos detalhados de recuperação que incluem procedimentos para restaurar sistemas e dados críticos a partir de backups.
  • RPO e RTO: Definir Objetivos de Ponto de Recuperação (RPO) e Objetivos de Tempo de Recuperação (RTO) claros para cada sistema crítico.
  • Testes de DRP: Conduzir exercícios de recuperação de desastres anualmente para validar a eficácia dos planos.

9. Conformidade e Auditoria

  • Regulamentações Aplicáveis: Assegurar conformidade com LGPD, ISO/IEC 27001, PCI DSS e outras normas relevantes.
  • Auditorias Periódicas: Realizar auditorias semestrais dos processos de backup e recuperação.
  • Relatórios de Conformidade: Gerar relatórios detalhados utilizando AWS Backup Audit Manager e outros recursos para fins de auditoria interna e externa.

10. Treinamento e Conscientização

  • Programas de Treinamento: Fornecer treinamento regular aos colaboradores sobre procedimentos de backup, recuperação e melhores práticas de segurança.
  • Atualizações de Política: Comunicar prontamente quaisquer alterações nesta política ou nos procedimentos associados.
  • Responsabilidade Individual: Enfatizar a importância da responsabilidade individual na proteção dos dados da empresa.

11. Revisão e Atualização

  • Periodicidade: Esta política será revisada anualmente ou conforme necessário devido a mudanças tecnológicas ou regulamentares.
  • Processo de Revisão: A revisão será conduzida pela Equipe de Segurança da Informação e pelo Departamento de TI.
  • Histórico de Revisões: Manter um registro de todas as alterações feitas nesta política.

12. Consequências do Não Cumprimento

  • Medidas Disciplinares: O não cumprimento desta política pode resultar em ações disciplinares, incluindo advertências, suspensão ou rescisão do contrato de trabalho.
  • Implicações Legais: Em casos de negligência ou má conduta grave, os responsáveis podem estar sujeitos a ações legais e penalidades.

13. Contato

Para dúvidas ou mais informações sobre esta política, entre em contato com o Departamento de Segurança da Informação da Toolzz LMS:

27. Política de Destruição de Informações FísicasAbstract Factory