Esta política descreve os procedimentos técnicos e organizacionais de backup, retenção, recuperação de desastres e continuidade operacional adotados pela MVD Consul Mais LTDA no aplicativo MVD Gestão (app.mvdgestao.com.br). Seu objetivo é mitigar riscos de perda de dados, minimizar indisponibilidade e assegurar a continuidade operacional dos Clientes contratantes.
1. Escopo e Abrangência
1.1. Abrange todos os dados estruturados (banco de dados PostgreSQL do Supabase), arquivos de mídia (storage Supabase — documentos, biometria, anexos), configurações de infraestrutura e código-fonte da aplicação.
1.2. Os procedimentos descritos são aplicáveis tanto ao ambiente de produção (app.mvdgestao.com.br) quanto aos ambientes de homologação (quando existirem).
2. Estratégia de Backup
2.1. Banco de dados (PostgreSQL / Supabase)
- Tipo: backups automáticos gerenciados pelo Supabase com replicação contínua (WAL streaming).
- Frequência de pontos de restauração (PITR): janela deslizante de 7 diasno plano atual; escalável até 28 dias conforme upgrade de plano do sub-operador.
- Snapshots diários: retidos por no mínimo 7 dias.
- Localização: região
sa-east-1(São Paulo/Brasil). Réplicas de leitura em múltiplas zonas de disponibilidade. - Criptografia: em trânsito (TLS 1.2+) e em repouso (AES-256).
- Backup adicional próprio: a MVD mantém rotinas internas de pg_dump semanais para tabelas financeiras críticas, retidas em storage auditado separado.
2.2. Arquivos de mídia (Supabase Storage)
- Replicação automática multi-zona pelo Supabase;
- Retenção de versões anteriores por 30 dias em buckets críticos (documentos assinados, biometria);
- Versionamento de objetos para arquivos dos módulos de Documentos e Checklists.
2.3. Código-fonte e configurações
- Código versionado em repositório Git com histórico imutável;
- Deploys versionados na Vercel com rollback instantâneo para versões anteriores;
- Variáveis de ambiente criptografadas e backupeadas periodicamente.
3. Objetivos de Recuperação (RPO / RTO)
| Componente | RPO (perda máxima) | RTO (tempo recuperação) |
|---|---|---|
| Banco de dados | ≤ 5 minutos (WAL streaming) | ≤ 4 horas |
| Storage de arquivos | ≤ 1 hora | ≤ 4 horas |
| Aplicação (frontend/API) | 0 (imutável) | ≤ 30 minutos (rollback Vercel) |
| Configurações / Segredos | Última alteração | ≤ 2 horas |
3.1. Os valores acima são metas operacionais não-contratuais. Em incidente específico, o tempo efetivo depende da natureza e escopo do evento.
4. Testes de Recuperação
4.1. A MVD realiza testes de recuperação (restore drill) ao menos trimestralmente em ambiente de homologação, simulando cenários de:
- Restore de banco de dados em ponto específico (PITR);
- Restauração de objeto individual (Storage);
- Rollback de versão da aplicação (Vercel);
- Reconstrução completa de ambiente a partir de código + backup.
4.2. Resultados dos testes (sucesso/falha, tempo real vs RTO, eventuais ajustes) são registrados internamente e disponibilizados ao Cliente sob solicitação.
5. Cenários de Desastre e Resposta
5.1. Indisponibilidade de sub-operador crítico
Se Supabase, Vercel ou outro sub-operador apresentar indisponibilidade regional:
- Monitoramento externo detecta e notifica o time técnico;
- Comunicação por email/status page aos Clientes impactados em até 30 minutos;
- Acompanhamento da resolução pelo sub-operador e comunicação de restabelecimento;
- Caso a indisponibilidade se prolongue, ativação de plano de contingência (degradação controlada, leitura-only, fail-over para região alternativa quando aplicável).
5.2. Corrupção ou perda acidental de dados
- Isolamento imediato para preservar evidências e limitar propagação;
- Análise de causa-raiz (bug, erro humano, falha de sub-operador);
- Restore pontual usando PITR (banco) ou versão anterior (Storage);
- Comunicação ao Cliente afetado em até 72 horas após confirmação (conforme Política de Incidentes).
5.3. Incidente de segurança com dados
Consultar Política de Tratativa de Incidentes para procedimento completo.
6. Retenção de Backups
| Tipo de backup | Retenção mínima | Retenção máxima |
|---|---|---|
| PITR (banco) | 7 dias | 28 dias (conforme plano) |
| Snapshot diário | 7 dias | 30 dias |
| Dump semanal financeiro | 12 semanas | 6 meses |
| Versões de objetos (Storage) | 30 dias | 90 dias (documentos assinados) |
7. Recuperação Individual de Dados do Cliente
7.1. O Cliente pode solicitar recuperação de dado específico (ex: transação deletada acidentalmente, documento apagado) mediante email ao suporte, dentro da janela de retenção aplicável.
7.2. Procedimento:
- Solicitação formal pelo Administrador da Empresa Cliente;
- Validação de titularidade e permissão;
- Estimativa de esforço e eventual taxa de recuperação manual (quando exigir restore em ambiente isolado e extração seletiva);
- Execução em até 5 dias úteis após aprovação;
- Entrega dos dados recuperados em formato exportável (CSV, JSON, PDF).
7.3. Recuperações fora da janela de retenção (dados já expurgados) são consideradas tecnicamente impossíveis e não podem ser garantidas.
8. Responsabilidades do Cliente
8.1. É responsabilidade do Cliente exportar periodicamente dados críticos do seu negócio usando as funcionalidades nativas da Plataforma (CSV, Excel, PDF). A MVD oferece:
- Export de transações financeiras (todas as páginas);
- Export de DRE em PDF e Excel;
- Export de Fluxo de Caixa;
- Export de Farol de Metas;
- Export de Planos de Ação e atividades;
- Export de Checklists aplicados em PDF e Excel;
- Export de reuniões com ata.
8.2. O backup local pelo Cliente é complementar aos backups da MVD e recomendado especialmente antes de operações sensíveis (migração, reestruturação de dados, exclusão em massa).
9. Continuidade de Negócios
9.1. A MVD mantém plano básico de continuidade abrangendo:
- Documentação técnica atualizada dos sistemas;
- Acessos redundantes a sub-operadores críticos;
- Processos documentados para onboarding emergencial de novos colaboradores técnicos;
- Procedimento de comunicação em escala alternativa (email + telefone de emergência);
- Revisão semestral do plano.
10. Limitações e Exclusões
10.1. Apesar dos melhores esforços, a MVD não garante:
- Recuperação de dados destruídos por ação intencional, fraudulenta ou negligente do próprio Cliente;
- Integridade de dados inseridos em formato corrompido pelo Cliente;
- RPO/RTO absolutos — são metas operacionais;
- Backup de dados transitórios (ex: cache, estado temporário de sessão);
- Recuperação além dos prazos de retenção publicados.
10.2. A MVD não responde por perda de dados decorrente de: (i) ação deliberada do Cliente; (ii) falha prolongada de sub-operador terceiro; (iii) caso fortuito ou força maior; (iv) ataque cibernético contra o qual medidas razoáveis de prevenção tenham sido adotadas.
11. Auditoria e Transparência
11.1. Mediante solicitação formal ao DPO, o Cliente pode receber:
- Relatório técnico dos últimos 12 meses de testes de restore;
- Declarações dos sub-operadores críticos sobre seus próprios procedimentos de backup (ex: Supabase SOC 2, Vercel DPA com anexo de segurança).
11.2. Auditorias independentes poderão ser conduzidas conforme cláusula 11 do DPA.
12. Alterações desta Política
12.1. Atualizações materiais (mudança de RPO/RTO, alteração de retenção) serão comunicadas por email com antecedência mínima de 30 dias corridos.
[REQUER VALIDAÇÃO TÉCNICA E JURÍDICA] As metas de RPO/RTO na cláusula 3 são baseadas na arquitetura atual (Supabase + Vercel + Cloudflare, regiões Brasil). Devem ser ajustadas caso a infraestrutura mude. Limitações na cláusula 10.2 devem ser revisadas por advogado para assegurar proporcionalidade à LGPD Art. 46 e ao CDC Art. 14 quando aplicável a consumidor pessoa física.