Segurança de Nível Empresarial

A segurança dos seus dados é a nossa prioridade máxima. Saiba mais sobre as nossas medidas de segurança abrangentes, padrões de conformidade e como protegemos as suas informações sensíveis.

Criptografia AES-256

Criptografia de nível militar para todos os dados em repouso e em trânsito

Conforme SOC 2

Controles de segurança auditados e padrões de conformidade

99,9% SLA de Disponibilidade

Infraestrutura confiável com failover automático e backups

Criptografia de Dados

Criptografia de nível militar protege os seus dados em todos os níveis

Criptografia em Repouso

  • Criptografia AES-256: Todos os dados armazenados nas nossas bases de dados são criptografados usando o Padrão de Criptografia Avançada com chaves de 256 bits
  • Criptografia de Base de Dados: Firebase Firestore fornece criptografia automática em repouso para todos os dados armazenados
  • Dados Biométricos: Dados de impressão digital são hash usando SHA-256 e armazenados em formato criptografado, tornando impossível a engenharia reversa
  • Criptografia de Backup: Todos os backups são criptografados com o mesmo padrão AES-256
  • Armazenamento de Arquivos: Quaisquer arquivos carregados (relatórios, documentos) são criptografados antes do armazenamento

Criptografia em Trânsito

  • TLS 1.3: Todos os dados transmitidos entre o seu navegador e os nossos servidores usam Transport Layer Security 1.3
  • HTTPS em Todo o Lado: Toda a nossa plataforma opera sobre HTTPS com HSTS ativado
  • Segurança API: Todas as chamadas API são criptografadas e autenticadas usando tokens seguros
  • Fixação de Certificado: As nossas aplicações móveis usam fixação de certificado para prevenir ataques man-in-the-middle

Gerenciamento de Chaves

  • Google Cloud KMS: Chaves de criptografia são gerenciadas pelo Google Cloud Key Management Service
  • Rotação de Chaves: Chaves de criptografia são automaticamente rotacionadas a cada 90 dias
  • Controles de Acesso: Apenas sistemas autorizados podem aceder a chaves de criptografia, com registro completo de auditoria
  • Módulos de Segurança de Hardware (HSM): Chaves são armazenadas em HSMs certificados FIPS 140-2 Nível 3

Autenticação e Controle de Acesso

Segurança multicamada para proteger o acesso à conta

Autenticação de Dois Fatores (2FA)

  • Suporte TOTP: Senhas únicas baseadas em tempo via Google Authenticator, Authy ou aplicações similares
  • 2FA por Email: 2FA alternativo via códigos de verificação por email
  • 2FA Obrigatório: Organizações podem impor 2FA para todos os usuários
  • Códigos de Backup: Códigos de recuperação fornecidos em caso de perda do dispositivo autenticador

Segurança de Senha

  • Hash Bcrypt: Todas as senhas são hash usando bcrypt com salt
  • Políticas de Senha: Mínimo de 8 caracteres, requisitos de complexidade impostos
  • Detecção de Violações: Senhas são verificadas contra bases de dados de violações conhecidas (Have I Been Pwned)
  • Limitação de Taxa: Tentativas de login falhadas são limitadas para prevenir ataques de força bruta
  • Gerenciamento de Sessão: Logout automático após inatividade, períodos de timeout configuráveis

Controle de Acesso Baseado em Funções (RBAC)

  • Permissões Granulares: Controles de acesso detalhados para diferentes funções de usuário (Admin, Gestor, Funcionário)
  • Princípio do Menor Privilégio: Usuários têm apenas acesso a dados necessários para a sua função
  • Isolamento de Organização: Arquitetura multi-inquilino garante isolamento completo de dados entre organizações
  • Registros de Auditoria: Todos os acessos e alterações de permissões são registados e monitorados

Autenticação Firebase

  • Padrão da Indústria: Alimentado pela plataforma Firebase Authentication da Google
  • OAuth 2.0: Suporte para provedores de login social (Google, Microsoft) com OAuth 2.0
  • Verificação de Email: Verificação de email obrigatória para todas as novas contas
  • Recuperação de Conta: Redefinição segura de senha via email com tokens de tempo limitado

Segurança de Infraestrutura

Infraestrutura em nuvem de nível empresarial com redundância global

Infraestrutura em Nuvem

  • Google Cloud Platform: Hospedado no Google Cloud com certificações ISO 27001, SOC 2 e SOC 3
  • Implementação Multi-Região: Dados replicados em várias regiões geográficas para redundância
  • Escalamento Automático: Infraestrutura escala automaticamente para lidar com picos de tráfego
  • Proteção DDoS: Google Cloud Armor fornece mitigação automática de DDoS
  • Isolamento de Rede: Redes VPC privadas com regras de firewall e segmentação de rede

Disponibilidade e Confiabilidade

  • 99,9% SLA de Disponibilidade: Disponibilidade de serviço garantida com créditos financeiros para tempo de inatividade
  • Failover Automático: Sistemas redundantes assumem automaticamente em caso de falha
  • Balanceamento de Carga: Tráfego distribuído entre vários servidores para desempenho ideal
  • Monitoramento de Saúde: Monitoramento automatizada 24/7 com alertas instantâneos
  • Resposta a Incidentes: Equipa dedicada responde a incidentes dentro de 15 minutos

Backup e Recuperação de Desastres

  • Backups Contínuos: Firebase fornece backups automáticos e contínuos de dados
  • Recuperação Ponto-no-Tempo: Restaurar dados para qualquer ponto nos últimos 35 dias
  • Redundância Geográfica: Backups armazenados em várias localizações geográficas
  • Plano de Recuperação de Desastres: Plano DR abrangente com Objetivo de Tempo de Recuperação (RTO) de 4 horas
  • Teste de Backup: Testes regulares de restauração de backup para garantir integridade de dados

Segurança Física

  • Data Centers do Google: Instalações de última geração com pessoal de segurança 24/7
  • Acesso Biométrico: Acesso ao data center controlado por autenticação biométrica
  • Vigilância por Vídeo: Monitoramento contínua com gravação de vídeo
  • Controles Ambientais: Supressão de incêndio, controle climático e redundância de energia

Segurança de Aplicação

Práticas de codificação segura e gerenciamento de vulnerabilidades

Desenvolvimento Seguro

  • SDLC Seguro: Segurança integrada em cada fase do ciclo de vida de desenvolvimento de software
  • Revisões de Código: Todas as alterações de código revistas por vários programadores antes da implementação
  • Análise Estática: Escaneamento automática de código para vulnerabilidades de segurança (SAST)
  • Escaneamento de Dependências: Bibliotecas de terceiros escaneadas para vulnerabilidades conhecidas
  • Treinamento em Segurança: Treinamento regular em segurança para todos os membros da equipa de desenvolvimento

Gerenciamento de Vulnerabilidades

  • Testes de Penetração: Testes de penetração anuais por terceiros por empresas de segurança certificadas
  • Programa de Recompensas por Bugs: Programa de divulgação responsável com recompensas para investigadores de segurança
  • Escaneamento de Vulnerabilidades: Escaneações semanais automatizadas para vulnerabilidades de segurança
  • Gerenciamento de Patches: Patches de segurança críticos implementados dentro de 24 horas
  • Monitoramento CVE: Monitoramento contínua de Vulnerabilidades e Exposições Comuns

Proteção OWASP Top 10

  • Injeção SQL: Consultas parametrizadas e ORM previnem ataques de injeção SQL
  • Prevenção XSS: Sanitização de entrada e cabeçalhos Content Security Policy (CSP)
  • Proteção CSRF: Tokens anti-CSRF em todas as operações que alteram estado
  • Falhas de Autenticação: Autenticação padrão da indústria via Firebase Auth
  • Configuração Incorreta de Segurança: Verificações automatizadas de configuração e endurecimento
  • Exposição de Dados Sensíveis: Criptografia e armazenamento seguro de todos os dados sensíveis

Segurança API

  • Tokens JWT: Autenticação API usando JSON Web Tokens com expiração
  • Limitação de Taxa: Limites de taxa API previnem abuso e ataques DDoS
  • Validação de Entrada: Todas as entradas API validadas e sanitizadas
  • OAuth 2.0: Acesso seguro API de terceiros com protocolo OAuth 2.0

Conformidade e Certificações

Cumprimento de padrões globais de segurança e privacidade

SOC 2 Type II

Auditorias anuais dos nossos controles de segurança, disponibilidade e confidencialidade por auditores terceiros independentes.

Conformidade RGPD

Conformidade total com o Regulamento Geral de Proteção de Dados da UE, incluindo direitos dos titulares de dados e notificação de violações.

Conformidade CCPA

Conformidade com a Lei de Privacidade do Consumidor da Califórnia para clientes baseados nos EUA com controles de privacidade abrangentes.

ISO 27001 (GCP)

O nosso fornecedor de infraestrutura (Google Cloud) mantém certificação ISO 27001 para gerenciamento de segurança da intreinamento.

PCI DSS

Processamento de pagamentos através de processadores de pagamento conformes PCI DSS Nível 1. Nunca armazenamos detalhes de cartão de crédito.

Pronto para HIPAA

Infraestrutura suporta requisitos de conformidade HIPAA para organizações de saúde (BAA disponível mediante solicitação).

Privacidade e Proteção de Dados

Práticas de dados transparentes e controles de privacidade do usuário

Minimização de Dados

  • Coletamos apenas dados necessários para funcionalidade do serviço
  • Sem cookies de rastreamento para fins de marketing
  • Dados biométricos armazenados em formato hash não reversível
  • Recursos opcionais permitem desativar certa coleta de dados

Direitos do Usuário

  • Direito de Acesso: Exporte todos os seus dados em formatos padrão (CSV, JSON, Excel)
  • Direito ao Apagamento: Solicite eliminação permanente dos seus dados
  • Direito de Retificação: Corrija dados imprecisos ou incompletos
  • Direito à Portabilidade: Transfira dados para outro fornecedor de serviços
  • Direito de Oposição: Opt-out de comunicações de marketing e analytics

Acordos de Processamento de Dados

  • Cláusulas Contratuais-Tipo: SCCs aprovadas pela UE para transferências internacionais de dados
  • Conformidade RGPD: Conformidade total com obrigações do processador do Artigo 28 RGPD
  • Transparência de Sub-processadores: Lista pública de todos os sub-processadores com notificação de alterações
  • Notificação de Violação de Dados: Notificação dentro de 72 horas de qualquer violação de dados

Monitoramento de Segurança e Resposta a Incidentes

Monitoramento 24/7 e resposta rápida a incidentes

Monitoramento Contínua

  • Monitoramento 24/7: Monitoramento contínua de infraestrutura e aplicações
  • Integração SIEM: Gerenciamento de Intreinamento e Eventos de Segurança para detecção de ameaças
  • Detecção de Anomalias: Detecção baseada em machine learning de atividade incomum
  • Alertas em Tempo Real: Notificações instantâneas para incidentes de segurança
  • Agregação de Logs: Registro centralizado com retenção para análise forense

Resposta a Incidentes

  • Equipa Dedicada: Equipa de resposta a incidentes de segurança disponível 24/7
  • Tempo de Resposta: Resposta inicial dentro de 15 minutos da detecção de incidente crítico
  • Comunicação: Comunicação transparente com clientes afetados durante incidentes
  • Revisão Pós-Incidente: Análise detalhada e ações corretivas após incidentes
  • Notificação Regulamentar: Conformidade com requisitos de notificação de violações (RGPD, CCPA)

Registro de Auditoria

  • Logs Abrangentes: Todas as ações de usuário, eventos do sistema e eventos de segurança registados
  • Logs Imutáveis: Logs não podem ser modificados ou eliminados, garantindo integridade de trilha de auditoria
  • Retenção de Logs: Logs de segurança retidos por 2 anos para conformidade e forense
  • Atividade do Usuário: Clientes podem ver logs de auditoria da sua atividade organizacional

Acesso e Treinamento de Funcionários

Controles rigorosos sobre acesso de funcionários a dados de clientes

Controles de Acesso

  • Menor Privilégio: Funcionários têm apenas acesso a dados necessários para a sua função de trabalho
  • Verificações de Antecedentes: Todos os funcionários passam por verificações de antecedentes antes da contratação
  • NDA e Confidencialidade: Todos os funcionários assinam acordos de não divulgação
  • Revisões de Acesso: Revisões trimestrais de permissões de acesso de funcionários
  • Revogação Imediata: Acesso revogado imediatamente após rescisão

Treinamento em Segurança

  • Treinamento de Integração: Treinamento obrigatória em segurança para todos os novos funcionários
  • Treinamento Anual: Treinamento anual de consciencialização de segurança com ameaças atualizadas
  • Simulações de Phishing: Testes regulares de phishing para manter vigilância
  • Exercícios de Resposta a Incidentes: Exercícios trimestrais de resposta a incidentes de segurança
  • Treinamento de Conformidade: Treinamento RGPD, SOC 2 e proteção de dados

Acesso a Dados de Clientes

  • Sem Acesso Padrão: Funcionários não têm acesso a dados de clientes por padrão
  • Acesso de Suporte: Suporte ao cliente só pode aceder a dados com permissão explícita
  • Trilha de Auditoria: Todo o acesso de funcionários a dados de clientes é registado e monitorado
  • Anonimização de Dados: Engenheiros trabalham com dados anonimizados para depuração

Melhores Práticas de Segurança para Clientes

Recomendamos as seguintes práticas para aumentar a segurança da sua conta:

  • Ative a autenticação de dois fatores (2FA) para todos os usuários
  • Use senhas fortes e únicas (mínimo 12 caracteres)
  • Reveja regularmente permissões de acesso de usuários e remova acesso desnecessário
  • Treine funcionários sobre consciencialização de phishing e engenharia social
  • Implemente os seus próprios controles de acesso e políticas internas
  • Exporte e faça backup dos seus dados regularmente
  • Monitorize logs de auditoria para atividade suspeita
  • Reporte imediatamente quaisquer preocupações de segurança para [email protected]

Programa de Divulgação Responsável

Valorizamos a comunidade de segurança e acolhemos relatórios de vulnerabilidades de segurança. Se descobrir um problema de segurança, por favor reporte-o de forma responsável:

Email de Segurança: [email protected]

Chave PGP: Disponível mediante solicitação para comunicações criptografadas

Tempo de Resposta: Reconhecemos relatórios dentro de 24 horas

Recompensas por Bugs: Recompensas disponíveis para vulnerabilidades qualificadas

Diretrizes

  • Não aceda ou modifique dados de clientes sem autorização
  • Não realize ataques de negação de serviço ou testes disruptivos
  • Permita-nos tempo razoável para resolver o problema antes da divulgação pública
  • Forneça passos detalhados de reprodução e avaliação de impacto
  • Não tomaremos ação legal contra investigadores agindo de boa fé

Questões Sobre Segurança?

A nossa equipa de segurança está aqui para ajudar a responder às suas questões

Contactar Equipa de Segurança Ver Política de Privacidade