🛡️ Segurança & Privacidade

Seus dados estão seguros com a gente.

Criptografia ponta-a-ponta, backups diários, conformidade LGPD, e transparência radical em incidentes. Segurança não é feature — é fundação.

HTTPS / TLS 1.2+
Toda comunicação criptografada em trânsito
Backups diários
Retenção 90 dias · RPO 24h · RTO 4h
LGPD Compliant
Lei 13.709/2018 · DPO dedicado
Hosting Brasil
Servidores em território nacional
Bcrypt + AES-256
Senhas e tokens com criptografia forte
Multi-tenant
Isolamento total entre clientes

🔐 Como protegemos seus dados

Autenticação segura

Senhas armazenadas com bcrypt (cost ≥10). Rate limit contra brute force. JWT para mobile com refresh rotativo. Biometria opcional (Face ID / Fingerprint).

Criptografia

TLS 1.2+ em todas as conexões. Tokens OAuth criptografados em repouso (AES-256). Webhooks assinados com HMAC SHA-256. Pagamentos via tokenização — não armazenamos cartão.

Anti-CSRF + XSS

CSRF tokens obrigatórios em toda ação sensível. Sanitização automática (htmlspecialchars) em todo output. Content Security Policy ativa.

Rate limiting

120 req/min por usuário autenticado. 60 req/min por Bearer Token (Partner API). Login: 5 tentativas em 15min por IP.

Backups robustos

Backups diários automáticos pela infraestrutura Hostinger. Retenção 90 dias rolling. Teste de restore trimestral. RPO 24h / RTO 4h.

Monitoramento 24/7

Status público em /status com uptime real. Alertas automáticos em incidentes. Logs com retenção 6 meses (Marco Civil).

✅ Conformidades e frameworks

LGPD — Lei 13.709/2018 DPO designado, ROPA mantido, resposta a titulares em 15 dias, notificação ANPD em 72h
CDC — Código de Defesa do Consumidor Direito de arrependimento 7d, transparência em preços, canal de reclamação ativo
Marco Civil da Internet — Lei 12.965/2014 Logs preservados 6 meses, neutralidade, transparência
ISO 27001 (princípios) Política interna alinhada à norma. Certificação formal planejada para 2027
OWASP Top 10 Mitigações ativas para as 10 vulnerabilidades mais críticas. Pentest anual previsto

🚨 Em caso de incidente

Detectamos em minutos

Monitor automático de uptime + logs. Detecção média: 5-15 minutos após ocorrência.

Notificamos em 72h

Notificação obrigatória à ANPD em até 72 horas conforme Art. 48 LGPD. Comunicação direta aos titulares afetados.

Post-mortem público

Incidentes significativos geram post-mortem público em nosso changelog. Transparência radical.

🤝 Encontrou uma vulnerabilidade?

Responsável disclosure é bem-vindo. Reporte para nosso DPO e agradecemos no hall da fama.

Reportar vulnerabilidade