1. Apresentação
A Legitimuz Tecnologia Ltda. é uma empresa brasileira especializada em soluções de KYC, autenticação biométrica, prevenção a fraudes e prevenção à lavagem de dinheiro, com atuação no setor regulado de iGaming e em segmentos correlatos.
Esta Política de Segurança da Informação (PSI) consolida, em linguagem pública, os princípios, compromissos e práticas que regem o tratamento, a proteção e a governança das informações sob responsabilidade da Legitimuz.
Esta versão pública é destinada a clientes em processo de due diligence, parceiros comerciais, titulares de dados pessoais e demais partes interessadas que necessitem compreender o nível de maturidade da Legitimuz em segurança da informação.
A política interna detalhada é mantida no Sistema de Gestão da Segurança da Informação (SGSI) da Legitimuz, sendo de acesso restrito a colaboradores, prestadores de serviço e auditores autorizados.
2. Certificações e Arcabouço Regulatório
A Legitimuz mantém um Sistema de Gestão da Segurança da Informação certificado por organismo independente acreditado, e estrutura suas operações em conformidade com as principais normas e regulamentações aplicáveis ao seu setor.
2.1. Certificações vigentes
- ABNT NBR ISO/IEC 27001:2022 — Sistema de Gestão da Segurança da Informação, com certificação emitida por organismo certificador acreditado e auditoria de manutenção anual;
- ISO/IEC 30107-3 (iBeta) — testes de detecção de ataque de apresentação biométrica (Presentation Attack Detection), aplicáveis aos componentes biométricos da plataforma de autenticação facial.
2.2. Arcabouço regulatório aplicável
A Legitimuz monitora continuamente o arcabouço normativo aplicável e adapta seus controles às atualizações regulatórias relevantes.
- Lei nº 13.709/2018 (LGPD);
- Lei nº 15.352/2026;
- Lei nº 15.211/2025 (ECA Digital);
- Lei nº 14.790/2023 e Portaria SPA/MF nº 722/2024;
- Lei nº 9.613/1998 e Resolução COAF nº 1.143/2024;
- Equivalência de proteção de dados Brasil-União Europeia;
- Regulamento (UE) 2016/679 (GDPR).
3. Princípios da Segurança da Informação na Legitimuz
- Confidencialidade: garantir acesso apenas a indivíduos autorizados;
- Integridade: preservar precisão e completude das informações;
- Disponibilidade: assegurar acesso às informações quando necessário;
- Privacidade: aderência integral à LGPD e normas aplicáveis;
- Menor privilégio: acessos concedidos conforme função e responsabilidade;
- Segurança por design: incorporar segurança e privacidade desde o desenvolvimento;
- Defesa em profundidade: múltiplas camadas de controle para mitigação de riscos;
- Melhoria contínua: aprimoramento constante dos controles de segurança.
4. Escopo e Aplicabilidade
Esta política se aplica a colaboradores, prestadores de serviço, fornecedores e terceiros que tenham acesso a sistemas de informação, dados e ativos da Legitimuz.
5. Estrutura de Governança
- Alta direção: aprova políticas e define estratégias;
- DPO e Compliance Officer: responsáveis pela aderência regulatória;
- Área de Segurança da Informação: operação cotidiana do SGSI;
- Comitê de Segurança da Informação e Privacidade: acompanhamento de riscos e indicadores;
- Gestores de áreas: aplicação das diretrizes;
- Colaboradores e terceiros: cumprimento da política.
6. Diretrizes de Segurança da Informação
6.1. Classificação e proteção de informações
As informações tratadas pela Legitimuz são classificadas conforme sua sensibilidade, e os controles aplicáveis variam segundo o nível de classificação.
6.2. Controle de acesso
O acesso a sistemas, aplicações e dados é concedido com base no princípio do menor privilégio, mediante solicitação formal e aprovação competente.
6.3. Proteção de dados pessoais
- Mapeamento de tratamentos de dados pessoais;
- Manutenção de Registro das Operações de Tratamento (ROPA);
- Realização de RIPD/DPIA;
- Atendimento às requisições dos titulares;
- Avaliação prévia de bases legais;
- Criptografia e controles de acesso;
- Avaliação de transferências internacionais.
6.4. Gestão de riscos
A Legitimuz mantém metodologia formal de gestão de riscos de segurança da informação.
6.5. Gestão de incidentes
A Legitimuz mantém plano formal de resposta a incidentes, incluindo detecção, contenção, erradicação e recuperação.
6.6. Continuidade de negócios e recuperação de desastres
A empresa mantém plano de recuperação de desastres e estratégias de continuidade de negócios para serviços críticos.
6.7. Desenvolvimento seguro
O ciclo de desenvolvimento incorpora práticas de segurança, revisão de código e testes de intrusão periódicos.
6.8. Segurança em serviços de nuvem
A Legitimuz utiliza provedores de nuvem de reconhecimento internacional com controles de segurança certificados.
6.9. Conscientização, educação e treinamento
São conduzidos programas regulares de conscientização e treinamento em segurança da informação.
6.10. Gestão de fornecedores
Fornecedores e terceiros passam por avaliação formal de risco em segurança da informação.
6.11. Trabalho remoto e mobilidade
A Legitimuz mantém controles específicos para acesso remoto, incluindo autenticação multifator e conexões criptografadas.
7. Auditorias, Monitoramento e Melhoria Contínua
O SGSI da Legitimuz é submetido a auditorias internas e externas regulares, conduzidas por consultorias independentes e organismos certificadores.
8. Compromisso da Alta Direção
- Aprovação e divulgação desta política;
- Provisão de recursos necessários ao SGSI;
- Promoção de cultura organizacional de segurança;
- Acompanhamento periódico do desempenho do SGSI;
- Garantia da independência da função de segurança da informação.
9. Canais de Contato
| Finalidade | Canal |
|---|---|
| DPO — exercício de direitos e dúvidas sobre dados pessoais | [email protected] |
| Comunicação de incidentes de segurança | [email protected] |
| Due diligence e certificações | [email protected] |
10. Vigência e Revisão
Esta política é revisada com periodicidade mínima anual, ou sempre que houver mudanças relevantes no contexto regulatório, estrutura organizacional ou ambiente de ameaças.
Legitimuz Tecnologia Ltda.
legitimuz.com
Documento de natureza pública — Versão 1.0 — Maio de 2026