1 – Objetivo
Esta política define os procedimentos para a criação, armazenamento, retenção e restauração de backups dos dados do site, garantindo a disponibilidade e a integridade das informações em caso de incidentes.
1.1. Definição do Termo "Backup"
Um "backup" refere-se ao processo de copiar e arquivar dados e informações essenciais de um sistema ou dispositivo para um local secundário, a fim de restaurá-los em caso de perda de dados, falha do sistema, ou qualquer outro evento que comprometa a integridade dos dados originais. Esta definição engloba diversas atividades e categorias, especificadas como segue:
A) Tipos de Dados Incluídos:
- Dados do Site: Incluem todos os arquivos estáticos e dinâmicos que compõem o website, como HTML, CSS, JavaScript, e arquivos de mídia (imagens, vídeos, áudios).
- Banco de Dados: Contém todas as informações dinâmicas do site, como conteúdo de páginas, posts de blog, informações de usuários, e outras informações armazenadas em bases de dados relacionais ou não relacionais.
- Configurações do Sistema: Inclui arquivos de configuração, templates de sistema, plugins, módulos e temas, que determinam a funcionalidade e aparência do site.
- Logs e Registros: Dados de log que registram as atividades do sistema, transações, e histórico de acessos, importantes para auditorias de segurança e análise de desempenho.
B) Sistemas Envolvidos:
- Sistema de Gerenciamento de Conteúdo (CMS): Plataforma que gerencia a criação, edição, publicação e armazenamento do conteúdo do site.
- Servidores Web e de Banco de Dados: Hardware e software que hospedam o site e gerenciam o banco de dados, respectivamente.
- Sistemas de Armazenamento: Incluem soluções de armazenamento em nuvem e dispositivos físicos como servidores de backup, discos rígidos externos, e outras mídias de armazenamento.
C) Finalidade do Backup:
- Recuperação de Dados: Restaurar dados após perda devido a falhas de hardware, ataques cibernéticos, erros humanos ou desastres naturais.
- Continuidade de Negócios: Assegurar que o site possa ser rapidamente restaurado e operacionalizado após uma interrupção, minimizando o tempo de inatividade e o impacto nos negócios.
- Conformidade e Auditoria: Manter históricos de dados para cumprimento de requisitos legais, regulatórios e de auditoria.
2 – Escopo
A política de backups abrange a cópia de segurança e a proteção de todos os aspectos críticos do site, detalhados conforme abaixo, para assegurar sua recuperação eficiente e completa em caso de necessidade. Este escopo inclui:
A) Componentes do Site:
- Arquivos de Sistema: Incluem o código-fonte do site, scripts, folhas de estilo, e arquivos executáveis que constituem a infraestrutura básica do site.
- Bases de Dados: Abrangem todas as informações armazenadas em sistemas de gerenciamento de banco de dados, como MySQL, PostgreSQL, MongoDB, entre outros, que contêm dados de usuários, conteúdo do site, e registros de transações.
- Conteúdos Digitais: Refere-se a todos os materiais de mídia, como textos, imagens, vídeos, e arquivos de áudio, utilizados no site para comunicação e interação com os usuários.
Sistemas e Plataformas:
- Sistema de Gerenciamento de Conteúdo (CMS): Backup do CMS (como WordPress, Joomla, ou Drupal) incluindo todos os seus componentes, plugins, temas, e configurações personalizadas.
- Servidores e Infraestrutura: Backups dos arquivos de configuração, scripts de automação, e outros componentes críticos dos servidores web, de banco de dados e de aplicação.
- Sistemas de Armazenamento e Arquivos: Inclui soluções de armazenamento locais e em nuvem utilizadas para o armazenamento de arquivos estáticos e dinâmicos do site.
B) Exclusões do Escopo:
- Dados Temporários: Arquivos de cache, sessões de usuário temporárias, e dados de log de acesso em tempo real podem ser excluídos dos backups regulares, dado o seu caráter volátil e a pouca relevância para a restauração de longo prazo do site.
- Software de Terceiros não Integrados: Softwares ou sistemas que não estão diretamente integrados ou que não impactam a operacionalidade do site principal podem ser excluídos, a menos que especificamente acordado em contrário.
- Conteúdo Externo: Dados ou conteúdos hospedados fora da infraestrutura principal do site, como serviços em nuvem de terceiros para e-mails, publicidade, ou ferramentas analíticas, estão excluídos, considerando que estes serviços possuem suas próprias políticas de backup e não estão sob responsabilidade da Cupcode.
3 – Responsabilidades
3.1. Cupcode
3.1.1. Implementação do Sistema de Backups
Configurar e implementar um sistema de backups automatizado que atenda às necessidades do site, considerando frequência, tipo de backup (completo, incremental) e armazenamento.
Selecionar e configurar as mídias e locais de armazenamento de backups, garantindo redundância e segurança.
3.1.2. Monitoramento e Manutenção
Monitorar continuamente o processo de backup para identificar e corrigir falhas ou problemas de desempenho.
Realizar manutenções regulares para assegurar que o sistema de backups permaneça atualizado e capaz de responder às necessidades do site.
3.1.3. Testes e Validação
Executar testes regulares de restauração dos backups para garantir a confiabilidade e a integridade dos dados armazenados.
Documentar os resultados dos testes e realizar ajustes conforme necessário para melhorar a eficiência e eficácia dos backups.
3.2. Contratante
3.2.1. Comunicação de Alterações
Informar ao prestador de serviços sobre quaisquer alterações significativas no site que possam impactar os requisitos de backup, como atualizações de sistema, adição de novas funcionalidades ou aumento significativo no volume de dados.
Coordenar com o prestador de serviços para garantir que os backups sejam ajustados e otimizados em resposta às mudanças no site.
3.2.2. Revisão de Política de Backups
Participar de revisões periódicas da política de backups para assegurar que ela continue atendendo aos requisitos de negócio e segurança da informação do site.
Contribuir com feedback baseado em necessidades operacionais e estratégicas para aprimorar continuamente o processo de backup.
3.2.3. Procedimentos de Restauração de Emergência
Estabelecer protocolos de comunicação e ação em caso de necessidade de restauração de dados, definindo as pessoas-chave de contato e as etapas a serem seguidas.
Colaborar com o prestador de serviços para assegurar uma resposta rápida e eficaz em situações de recuperação de dados.
4 – Procedimentos de Backup
4.1. Métodos de Backup
4.1.1. Backup em Nível de Bloco
Utiliza a cópia de blocos de dados alterados desde o último backup, reduzindo o tempo e o armazenamento necessários.
Ideal para grandes volumes de dados onde alterações diárias são relativamente pequenas em comparação ao tamanho total dos dados.
4.1.2. Snapshots de Sistema de Arquivos
Captura o estado de um sistema de arquivos em um momento específico, permitindo a restauração rápida para esse ponto no tempo.
Eficiente para sistemas que necessitam de pontos de restauração frequentes, facilitando a reversão em caso de atualizações mal sucedidas ou corrupção de dados.
4.1.3. Backup Completo
Cópia integral de todos os dados selecionados, servindo como referência para backups incrementais ou diferenciais subsequentes.
Realizado periodicamente (por exemplo, mensalmente) para garantir uma base de dados atualizada e completa para recuperação.
4.1.4. Backup Incremental
Registra apenas os dados que mudaram desde o último backup, seja ele completo ou incremental anterior.
Minimiza o uso de espaço de armazenamento e tempo de backup, mas requer uma sequência de todos os backups incrementais para restauração.
4.1.5. Backup Diferencial
Armazena as alterações feitas desde o último backup completo, acumulando as diferenças diárias em um único conjunto de backup.
Oferece um equilíbrio entre tempo de restauração mais rápido e uso eficiente do espaço de armazenamento.
4.2. Tecnologias de Backup
4.2.1. Software de Backup
Utilização de soluções de backup robustas e confiáveis, capazes de automatizar o processo de backup, realizar criptografia, e garantir a integridade dos dados.
Exemplos incluem Acronis, Veeam, ou soluções específicas de fornecedores de nuvem como AWS Backup ou Azure Backup.
4.2.2. Armazenamento em Nuvem
Backups armazenados em serviços de nuvem proporcionam escalabilidade, acessibilidade e proteção contra falhas locais.
Provedores como Amazon S3, Google Cloud Storage e Microsoft Azure Blob Storage oferecem opções seguras e resilientes.
4.2.3. Dispositivos Físicos
Utilização de dispositivos de armazenamento externos, como discos rígidos, NAS (Network Attached Storage) ou dispositivos de memória flash, para armazenamento local ou offsite.
4.2.4. Criptografia e Segurança
Implementação de criptografia de dados em trânsito e em repouso para proteger contra acesso não autorizado e vazamento de dados.
Uso de protocolos seguros como SSL/TLS para a transferência de dados de backup e autenticação multifatorial para acesso aos sistemas de backup.
4.3. Criação de Backups
- Backups completos anuais: realização de um backup completo do site todo final de ano.
- Backups completos Mensais: realização de um backup completo do site todos os meses.
- Backups completos semanais: realização de um backup completo do site toda semana.
- Backups diários: realização de backups complementares das alterações diárias desde o último backup completo ou um backup completo, dependendo das tecnologias disponíveis para o projeto ou da escolha na hora da contratação.
5 – Política de Retenção de Backups
A política de retenção de backups é estruturada para equilibrar as necessidades operacionais, de conformidade e de eficiência no armazenamento. Cada ciclo de retenção é definido com base em critérios específicos que consideram a importância dos dados e as exigências legais e operacionais.
5.1 Retenção
5.1.1. Backups Diários
Período de Retenção: 14 dias.
Justificativa: Esse período visa cobrir as necessidades operacionais de curto prazo, permitindo a restauração rápida de dados em caso de corrupções ou perdas recentes. A frequência diária garante que alterações críticas sejam preservadas.
5.1.2. Backups Semanais
Período de Retenção: 3 meses.
Justificativa: Este ciclo suporta a recuperação de dados em um horizonte temporal mais amplo, adequado para situações onde as falhas só são detectadas após várias semanas. Isso permite uma janela confortável para análise e correção de eventuais problemas que não foram identificados imediatamente.
5.1.3. Backups Mensais
Período de Retenção: 1 ano.
Justificativa: Backups mensais são mantidos por um ano para assegurar a disponibilidade de dados históricos, úteis em casos de auditorias internas ou análises de tendências de longo prazo. Este período também atende a muitos requisitos regulatórios que exigem a retenção de dados por pelo menos um ano.
5.1.4. Backups Anuais
Período de Retenção: 5 anos.
Justificativa: A retenção de backups anuais por cinco anos está alinhada com muitas obrigações legais e fiscais, especialmente em setores regulados onde é mandatório manter registros históricos para referência futura e auditorias de conformidade.
5.2 Local de Armazenamento
Armazenamento Diversificado: Os backups são armazenados em múltiplas localidades geográficas, utilizando tanto instalações físicas (como data centers offsite) quanto soluções em nuvem. Esta estratégia é projetada para mitigar os riscos associados a desastres naturais, falhas de infraestrutura localizadas ou problemas geopolíticos, garantindo a recuperação de dados sob quaisquer circunstâncias.
Segurança e Acesso: Cada local de armazenamento cumpre rigorosas normas de segurança da informação, com acesso restrito a pessoal autorizado e auditado. A integridade e confidencialidade dos backups são mantidas através de criptografia robusta e controles de acesso baseados em roles.
6 – Procedimentos de Restauração
6.1 Protocolo de Solicitação de Restauração
Iniciação da Solicitação: Os usuários autorizados devem submeter um pedido formal de restauração através de um sistema de ticket, especificando o ponto de restauração desejado e a justificativa detalhada para a restauração.
Avaliação e Aprovação: A equipe de TI avalia a solicitação para determinar a viabilidade e prioridade da restauração, levando em conta a justificativa e o impacto operacional.
6.2 Processo de Restauração
Preparação: Antes da restauração, os dados são verificados quanto à integridade e compatibilidade com o ambiente atual.
Ambiente de Teste: A restauração é inicialmente realizada em um ambiente de teste para validar o sucesso e a integridade dos dados restaurados.
Implementação em Produção: Após a validação, a restauração é implementada no ambiente de produção durante uma janela de manutenção programada, minimizando o impacto no site.
Verificação e Conclusão: Uma verificação final é realizada para garantir que o site esteja operacional e que todos os dados restaurados estejam funcionando como esperado.
7 – Segurança dos Backups
7.1 Protocolo de Teste de Backup
Frequência de Testes: Testes de integridade dos backups são realizados mensalmente e após qualquer alteração significativa na infraestrutura do site ou no procedimento de backup.
Correção de Problemas: Se os testes identificarem falhas, ações corretivas são imediatamente iniciadas, e o processo de backup é revisado e ajustado conforme necessário.
7.2 Planos de Contingência e Recuperação de Desastres
Plano de Ação: Um plano de contingência detalhado está em vigor, delineando as etapas a seguir em caso de falhas críticas de backup ou perda de dados significativa.
Simulações de Recuperação de Desastres: Exercícios regulares de simulação são realizados para garantir a prontidão da equipe e a eficácia do plano.
7.3 Segurança e Proteção de Backups
Medidas de Segurança: Além da criptografia, são implementadas soluções avançadas de segurança, como firewalls de próxima geração, anti-ransomware, e monitoramento contínuo de ameaças.
Controle de Acesso: O acesso aos backups é rigorosamente controlado e monitorado, com autenticação multifatorial e permissões baseadas em roles.
7.4 Auditoria, Monitoramento e Relatórios
Monitoramento Contínuo: Todas as atividades de backup e restauração são monitoradas em tempo real, com alertas automáticos para qualquer operação anormal ou falha.
Auditorias e Relatórios: Relatórios detalhados de backup e restauração são gerados mensalmente, e auditorias regulares são conduzidas para avaliar a conformidade com a política e identificar áreas para melhoria.
8 – Auditoria e Conformidade Aprimorada
8.1 Registro de Atividades Detalhado
Rastreamento Completo: Todos os processos de backup e restauração são registrados com detalhes, incluindo timestamp, identificação do usuário, tipo de operação, e descrição dos dados envolvidos.
Integridade e Confidencialidade: Assegura-se que os registros sejam mantidos de forma segura e confidencial, utilizando criptografia e controles de acesso estritos para prevenir alterações não autorizadas ou vazamento de informações.
8.2 Revisão e Atualização Contínua da Política
Revisão Programada: A política de backups é revisada semestralmente e após qualquer evento significativo que possa impactar a estratégia de backup e recuperação.
Ajuste Proativo: As revisões visam a incorporação de avanços tecnológicos, a mitigação de novos riscos identificados e a conformidade com alterações nas regulamentações legais.
Relatório de Revisão: Documentação detalhada de cada revisão, incluindo justificativas para mudanças, é mantida para referência histórica e transparência.
9 – Encerramento e Eliminação de Backups
9.1 Procedimentos de Eliminação Aperfeiçoados
Métodos de Eliminação Segura: Define métodos específicos para a eliminação segura de dados, como a destruição digital certificada ou a desmagnetização física de mídias, assegurando que os backups não possam ser restaurados ou acessados posteriormente.
Auditoria de Eliminação: Cada processo de eliminação é auditado, com a geração de relatórios que documentam a data, o método utilizado, e a confirmação de que os dados foram irreversivelmente removidos.
Validação Periódica: Implementação de verificações periódicas para garantir que os procedimentos de eliminação estejam sendo executados conforme as diretrizes estabelecidas e que estejam efetivamente prevenindo a recuperação de dados.
10 – Flexibilidade e Adaptação à Negociação Contratual
10.1 Aplicabilidade da Política de Backup Baseada no Contrato
Personalização Conforme Acordo: Esta política de backups serve como um framework geral. Entretanto, os termos específicos e a frequência dos backups podem ser adaptados conforme as necessidades e acordos estabelecidos em cada contrato individual de serviço.
Definição Contratual: Os detalhes sobre a natureza e a frequência dos backups (como diários, semanais, mensais) serão especificamente definidos no contrato de prestação de serviços. Essa definição direciona a extensão da cobertura de backup e os níveis de serviço esperados.
10.2 Limitações e Exclusões de Serviço
Clarificação de Serviços Garantidos: Dependendo do contrato celebrado, alguns serviços de backup detalhados nesta política podem não se aplicar. Por exemplo, se um contrato especifica apenas backups mensais, os backups diários ou semanais não serão realizados, a menos que seja expressamente acordado.
Documentação Clara de Exceções: Todas as exceções e limitações específicas relacionadas aos serviços de backup serão claramente documentadas no contrato de serviço, assegurando alinhamento e compreensão mútua entre as partes.
10.3 Revisão e Ajuste de Acordos
Mecanismos de Revisão: Os contratos podem incluir cláusulas que permitem revisões periódicas das necessidades de backup e ajustes na política conforme necessário. Isso garante que os serviços de backup permaneçam relevantes e adequados às necessidades operacionais e estratégicas do contratante.
Negociação de Modificações: Quaisquer modificações nos serviços de backup acordados devem ser negociadas e formalizadas por meio de aditivos contratuais, assegurando que ambas as partes estejam cientes e de acordo com as alterações nos serviços prestados.
