Este documento detalha as medidas técnicas e organizacionais adotadas para proteger os dados e garantir a navegação segura no site gegodtransformacaodosdados.org, em conformidade com a Lei Geral de Proteção de Dados (LGPD) e padrões internacionais de segurança da informação.
Última atualização: 24 de março de 2025 · Autor: Diogo Grawingholt
O site gegodtransformacaodosdados.org foi projetado com o princípio de minimização de dados (Art. 6º, III da LGPD). Por se tratar de um painel de apresentação técnica, o site não coleta, armazena ou processa dados pessoais dos visitantes de forma direta.
Não existem formulários de cadastro, login, coleta de e-mail ou qualquer mecanismo que solicite informações pessoais identificáveis (PII — Personally Identifiable Information) ao usuário.
Compromisso: Nenhum dado pessoal é coletado, vendido, compartilhado ou transferido a terceiros por meio deste site.
O site tem como única finalidade a apresentação de proposta técnica para o Processo Seletivo Interno (PSI) 15191 da Caixa Econômica Federal, no âmbito da Gerência Nacional de Governança de Dados (GEGOD).
A base legal para o tratamento de dados analíticos anônimos (quando aplicável) é o legítimo interesse (Art. 7º, IX da LGPD), limitado à mensuração de acessos para fins estatísticos, sem identificação individual do visitante.
| Dado | Coleta | Finalidade | Base Legal |
|---|---|---|---|
| Nome / E-mail / CPF | Não coletado | — | — |
| Endereço IP | Anonimizado | Estatísticas de acesso | Legítimo interesse |
| Cookies de sessão | Não utilizado | — | — |
| Dados de navegação | Anônimo | Contagem de pageviews | Legítimo interesse |
O site implementa um conjunto robusto de medidas técnicas de segurança, alinhadas às recomendações do OWASP Top 10, do NIST Cybersecurity Framework e da ISO/IEC 27001. Cada medida foi projetada para garantir compatibilidade com a infraestrutura de segurança da rede corporativa da CAIXA (firewalls, proxies, filtros de conteúdo).
Content Security Policy (CSP)
Restringe as origens de conteúdo permitidas (scripts, estilos, imagens, fontes) a uma whitelist explícita de domínios autorizados. Previne ataques de Cross-Site Scripting (XSS) e injeção de código malicioso.
Ref.: W3C CSP Level 3 · OWASP XSS Prevention Cheat Sheet
HTTP Strict Transport Security (HSTS)
Força todas as conexões a utilizar HTTPS com certificado TLS válido, impedindo ataques de downgrade (SSL stripping) e interceptação de tráfego em redes não confiáveis.
Ref.: RFC 6797 · NIST SP 800-52 Rev. 2
X-Frame-Options: DENY
Bloqueia o carregamento do site dentro de iframes de terceiros, prevenindo ataques de clickjacking onde o usuário é induzido a clicar em elementos ocultos.
Ref.: RFC 7034 · OWASP Clickjacking Defense Cheat Sheet
X-Content-Type-Options: nosniff
Impede que o navegador interprete arquivos com MIME type diferente do declarado pelo servidor, bloqueando ataques de MIME sniffing.
Ref.: OWASP Secure Headers · CWE-16
Referrer-Policy: strict-origin-when-cross-origin
Controla as informações de referência enviadas ao navegar para outros sites. Envia apenas a origem (sem caminho completo) em requisições cross-origin, protegendo a privacidade do visitante.
Ref.: W3C Referrer Policy Specification
Permissions-Policy
Desabilita APIs sensíveis do navegador que não são utilizadas pela aplicação: câmera, microfone, geolocalização, pagamento, USB, magnetômetro, giroscópio e acelerômetro. Aplica o princípio do menor privilégio.
Ref.: W3C Permissions Policy · NIST Zero Trust Architecture (SP 800-207)
X-XSS-Protection: 1; mode=block
Ativa o filtro XSS nativo do navegador como camada adicional de defesa. Em caso de detecção de ataque, a página é bloqueada em vez de ser sanitizada.
Ref.: OWASP XSS Prevention · Microsoft IE Security
security.txt (RFC 9116)
Disponibiliza um arquivo padronizado em /.well-known/security.txt com informações de contato para divulgação responsável de vulnerabilidades, demonstrando maturidade em segurança.
Ref.: RFC 9116 · NIST Vulnerability Disclosure Guidelines
A política de segurança de conteúdo define com precisão quais origens externas são autorizadas a carregar recursos no site. Essa configuração é fundamental para a compatibilidade com proxies corporativos que inspecionam headers CSP.
| Diretiva | Origens Permitidas | Justificativa |
|---|---|---|
| default-src | 'self' | Apenas recursos do próprio domínio |
| script-src | 'self' 'unsafe-inline' | Scripts locais e inline (React/Vite) |
| style-src | 'self' fonts.googleapis.com | Estilos locais e Google Fonts CSS |
| font-src | 'self' fonts.gstatic.com | Arquivos de fonte do Google Fonts |
| img-src | 'self' d2xsxph8kpxj0f.cloudfront.net | Imagens locais e CDN CloudFront |
| connect-src | 'self' gegodtransformacaodosdados.org | Requisições XHR/Fetch restritas |
| frame-ancestors | 'none' | Proíbe embedding em iframes (anti-clickjacking) |
| form-action | 'self' | Formulários restritos ao próprio domínio |
Além das meta tags no HTML, o servidor aplica headers de segurança HTTP em todas as respostas. Esses headers são processados por proxies corporativos e firewalls de aplicação web (WAF), garantindo que o site seja classificado como seguro pelos filtros da rede da CAIXA.
# Headers aplicados em todas as respostas HTTP X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=() Strict-Transport-Security: max-age=31536000; includeSubDomains; preload Content-Security-Policy: default-src 'self'; [...]
Toda a comunicação entre o navegador do visitante e o servidor é protegida por TLS 1.3 (Transport Layer Security), o protocolo de criptografia mais recente e seguro disponível. O certificado SSL é emitido e renovado automaticamente, garantindo validade contínua.
Protocolo de criptografia
Chave de criptografia AES
Força HTTPS em todas as conexões
O site utiliza um número restrito de serviços externos, todos explicitamente autorizados na Content Security Policy. Nenhum serviço de terceiros tem acesso a dados pessoais dos visitantes.
Embora este site não colete dados pessoais, reconhecemos e respeitamos integralmente os direitos previstos no Art. 18 da LGPD. Caso o titular identifique qualquer situação que considere inadequada, poderá exercer os seguintes direitos:
Em caso de identificação de vulnerabilidade ou incidente de segurança, o responsável pelo site se compromete a:
Investigar a ocorrência em até 24 horas após a notificação
Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) quando aplicável, conforme Art. 48 da LGPD
Adotar medidas corretivas imediatas para mitigar o impacto
Documentar o incidente com análise de causa raiz e lições aprendidas
Para divulgação responsável de vulnerabilidades, consulte o arquivo/.well-known/security.txtconforme RFC 9116.
As medidas de segurança adotadas neste site estão alinhadas aos seguintes frameworks e normas internacionais:
Lei Geral de Proteção de Dados Pessoais do Brasil
As 10 vulnerabilidades mais críticas em aplicações web
Framework de cibersegurança do governo dos EUA
Gestão de Segurança da Informação
Controles de segurança do Center for Internet Security
Arquitetura de confiança zero para aplicações modernas
Para dúvidas, solicitações ou comunicações relacionadas a esta política de privacidade e segurança, entre em contato:
Responsável
Diogo Grawingholt
Portfólio
www.diogograwingholt.com.brSite do Projeto
gegodtransformacaodosdados.org© 2025 Diogo Grawingholt — Todos os direitos reservados
gegodtransformacaodosdados.org · diogograwingholt.com.br
Última atualização: 24 de março de 2025