Guarda ChuvaDigital

Seguranca

Como protegemos os dados que voce e seus clientes confiam a Ana. Lista das praticas tecnicas em uso hoje, sem promessa que nao a gente nao cumpre.

Criptografia em transito e repouso

TLS 1.2+ em toda comunicacao com o navegador, com a API e com WhatsApp/PagBank/Google. Dados sensiveis (mensagens, dados de cliente, tokens) em AES-256 no banco.

Autenticacao e sessoes

Senha com hash bcrypt. Sessoes em JWT de curta duracao + refresh token em cookie HttpOnly. Refresh token rotaciona a cada uso, detectando reuso (sinal de roubo).

Isolamento por cliente (multi-tenant)

Cada query filtra por tenant_id no nivel do banco. Testes automatizados garantem que cross-tenant leak nao volta. Logs de auditoria de acesso a dados pessoais.

Backups e retencao

Snapshots diarios do Postgres com retencao de 30 dias, em regiao separada. Restore testado mensalmente. Mensagens do WhatsApp seguem politica de retencao do plano.

Operacao

  • Atualizacao de dependencias revisada semanalmente, com prioridade pra alertas CVE de severidade alta.
  • Code review obrigatorio em todo merge pra main; pre-commit com lint e typecheck.
  • Secrets em variaveis de ambiente, fora do repositorio. Rotacao manual quando ha suspeita.
  • Acesso administrativo limitado a equipe tecnica, autenticado por SSH com chave + 2FA no painel.
  • Monitoramento de erro em tempo real (Sentry ou equivalente) e healthcheck em todos os servicos.

Conformidade

  • LGPD (Lei 13.709/2018) — atuamos como operadora de dados em relacao aos clientes finais; contrato escrito disponivel.
  • CFM 2.314/2022 para uso em saude — orientacoes especificas no contrato de saude.
  • Direitos do titular (acesso, correcao, exclusao, portabilidade) atendidos pelo painel ou pelo email contato@guardachuva.digital.

Divulgacao responsavel de vulnerabilidades

Achou algo? Avise antes de publicar.

Mande a descricao do problema (passo a passo + impacto) pra contato@guardachuva.digital com o assunto "Divulgacao responsavel de vulnerabilidade". Respondemos em ate 5 dias uteis confirmando recebimento e prazo de correcao.

Pedimos: nao acessar/exfiltrar dados de outros clientes, nao executar denial-of-service, e dar prazo de 90 dias antes de publicar. Reciprocamente, a gente nao toma medida legal contra pesquisa de boa-fe.

Duvida tecnica sobre como tratamos dados especificos? Pergunta direto no contato.

Falar com seguranca