Trust & Segurança

Dados em trânsito e em repouso protegidos com algoritmos modernos. Segredos isolados em cofres gerenciados.

• TLS 1.2+ obrigatório— Todo tráfego HTTPS-only via Vercel Edge. HSTS habilitado.
• AES-256 em repouso— Banco de dados Supabase encripta volumes nativamente. Backups idem.
• Segredos em cofre gerenciado— Vercel Environment Variables encriptadas. Sem segredos em código ou logs.
• Gestão de chaves delegada— Chaves gerenciadas pelos provedores de infra (Supabase, Vercel) com rotação automática.

Autenticação forte, autorização granular e isolamento entre tenants verificáveis em audit log.

• MFA disponível— TOTP (RFC 6238) habilitado pra todos os usuários. Obrigatório pra super_admin.
• RBAC granular— Papéis: super_admin, commercial, owner, business. Cada um com escopo de acesso definido.
• Row-Level Security— Isolamento multi-tenant aplicado no banco via Supabase RLS. Cada tenant só vê seus próprios dados.
• Audit log completo— Toda ação sensível (login, mudança de papel, acesso admin) gravada com user_id, timestamp, IP.
• Revisão de acesso trimestral— Em implementação. Listagem de quem tem acesso ao quê, com confirmação trimestral.

Stack moderno em provedores certificados SOC 2 / ISO 27001. Backups automáticos e monitoramento 24/7.

• Vercel (SOC2 Type 2 + ISO 27001)— Hosting + edge network global. DDoS mitigation incluído.
• Supabase (SOC2 Type 2)— Postgres gerenciado com encryption-at-rest, point-in-time recovery, e isolamento de rede.
• Backups automáticos diários— Retenção configurada. Recovery testado.
• Sentry para erros + Audit log— Erros agregados e rastreados. Alertas automáticos pra incidentes em produção.
• Plano de resposta a incidentes— Em formalização. Severidades, comunicação e post-mortem documentados.

Coletamos o mínimo necessário, isolamos por tenant, retemos pelo tempo necessário, deletamos sob solicitação.

• Isolamento por tenant— Cada empresa cliente tem seus dados isolados via RLS. Sem cross-tenant leakage.
• RoPA (Record of Processing Activities)— Em construção. Mapeamento por tabela: dado, finalidade, base legal, retenção.
• Política de retenção— Em definição. TTL automatizado por tipo de dado.
• Direito ao esquecimento— Em definição. Processo formal de DSR (Data Subject Request) com SLA de 15 dias.

Status declarado honestamente. Atualizamos esta seção conforme certificações progridem.

• LGPD (Lei Geral de Proteção de Dados)— Em adequação. Política de privacidade, RoPA, DPA, DPO designado em curso.
• SOC 2 Type 1— Planejado para 2026 Q3. Readiness assessment em andamento.
• SOC 2 Type 2— Planejado para 2027.
• ISO 27001— Avaliação prevista para 2027 conforme demanda de mercado.