Documento público — conformidade SP-API

Plano de resposta a incidentes de segurança

Mundoseg Comércio & Serviço Ltda · CNPJ 31.713.234/0001-00
Endereço: Rua Maria Santíssima, 678 – Vila Ideal, São José do Rio Preto/SP – CEP 15060-270
E-mail: mundoseg@mundoseg.com.br
Versão 1.0 · Vigência: julho/2026 · Próxima revisão: janeiro/2027 (ciclo semestral)
Sistemas: api.mundoseg.com, integrações Amazon SP-API, Mercado Livre, Bling ERP

1. Objetivo

Estabelecer procedimentos documentados para detectar, conter, investigar, recuperar e notificar incidentes de segurança que envolvam dados de clientes, informações de pedidos de marketplaces (incluindo Informações Amazon obtidas via SP-API) ou credenciais de integração da Mundoseg.

2. Escopo

3. Papéis e responsabilidades

PapelResponsávelFunção
Patrocinador / decisão Direção MundoSeg Aprovar comunicações externas, notificações regulatórias e medidas corretivas
Coordenador de incidentes Administrador de sistemas (TI) designado Acionar este plano, registrar linha do tempo, coordenar contenção e investigação
Operações Gestor de expedição Suspender fluxos afetados; preservar evidências operacionais
Comunicação externa Contato corporativo mundoseg@mundoseg.com.br Notificar Amazon, parceiros e titulares conforme prazos legais/contratuais
Privacidade / LGPD Responsável indicado pela direção Avaliar impacto a titulares; acionar ANPD quando aplicável (Lei 13.709/2018)

Canal de emergência interna: mundoseg@mundoseg.com.br (monitorado em dias úteis; finais de semana e feriados: e-mail + telefone/WhatsApp corporativo do responsável de TI).

4. Classificação e prazos de resposta inicial

NívelExemplosResposta inicial
Crítico Vazamento ou acesso indevido a dados Amazon/PII; credencial OAuth exposta publicamente Imediato (≤ 1 hora)
Alto Conta administrativa comprometida; acesso suspeito ao banco de dados ≤ 4 horas
Médio Tentativas de login em massa; indisponibilidade de backup ≤ 24 horas
Baixo Phishing identificado sem comprometimento confirmado ≤ 72 horas

5. Procedimento

5.1 Detecção e registro

5.2 Contenção

  1. Revogar tokens/sessões comprometidos (painel, OAuth Amazon/ML);
  2. Rotacionar credenciais afetadas (variáveis de ambiente Render, chaves Supabase);
  3. Desabilitar usuário ou bloquear IP suspeito;
  4. Preservar logs e snapshots antes de reinícios ou deploys.

5.3 Investigação

5.4 Notificação

Amazon — Informações Amazon: quando um incidente envolver ou puder envolver dados obtidos via SP-API, notificaremos security@amazon.com em até 24 horas após detecção ou confirmação razoável, informando seller ID, application ID, natureza do incidente, categorias de dados potencialmente afetados, medidas de contenção e contato responsável.

5.5 Recuperação e encerramento

6. Revisão semestral (obrigatória)

Este plano é revisado a cada 6 meses (janeiro e julho) ou após qualquer incidente crítico, o que ocorrer primeiro.

RevisãoDataResponsávelResultado
1Julho/2026TI MundoSegPublicação v1.0 — URL pública api.mundoseg.com
2Janeiro/2027TI MundoSegRevisão programada

Checklist de revisão:

7. Controles de segurança complementares

8. Documentos relacionados

Documento publicado para fins de conformidade com Amazon SP-API (Data Protection Policy e Acceptable Use Policy). Última atualização: 7 de julho de 2026.