ClientFlow
Segurança em primeiro lugar

Segurança

A segurança dos seus dados é a nossa principal prioridade. Implementamos medidas de segurança de padrão da indústria para proteger o seu negócio e as informações dos seus clientes. Todos os dados são alojados na Alemanha, dentro da União Europeia, na infraestrutura da Hetzner.

Active
Monitoring
<72h
Notificação de Violação
TLS 1.3
Cifragem de transporte
RGPD
Conformidade

Proteção de dados

Cifragem em repouso

Cifrado

Os volumes da base de dados são cifrados em repouso ao nível da infraestrutura. As credenciais sensíveis e os tokens de pagamento são adicionalmente cifrados ao nível da aplicação antes do armazenamento.

Cifragem em trânsito

TLS 1.3

Todos os dados transmitidos entre o seu browser e os nossos servidores são cifrados utilizando TLS 1.3 com conjuntos de cifra modernos.

Autenticação OAuth 2.0

OAuth 2.0

Utilizamos OAuth 2.0 padrão da indústria com Google, Facebook e Apple para autenticação segura. Nenhuma palavra-passe é armazenada.

Segurança de tokens JWT

Rotativo

Os tokens de acesso expiram após 1 hora. Os tokens de atualização são rodados a cada utilização e podem ser revogados instantaneamente.

Segurança da infraestrutura

ISO 27001 (DC)

Alojado na Hetzner, na Alemanha. Os data centers da Hetzner são certificados ISO 27001 e oferecem segurança física de nível empresarial e mitigação de DDoS no limite da rede.

Backups de base de dados

Backups

Os backups PostgreSQL são realizados antes de cada implementação em produção e cada migração. Os backups são armazenados em volumes protegidos e mantidos para permitir um rollback rápido.

Práticas de segurança

Monitorização de erros

Os erros de aplicação e as tentativas de autenticação falhadas são registados e monitorizados via Sentry para detetar anomalias precocemente.

Atualizações regulares

As dependências e sistemas são atualizados regularmente para corrigir vulnerabilidades de segurança e manter boas práticas.

Controlos de acesso

O isolamento de dados por utilizador e o controlo de acesso baseado em funções (RBAC) garantem que os membros da equipa apenas acedem aos dados necessários para o seu papel.

Revisão interna de código

As alterações de código passam por uma revisão interna de segurança com ferramentas automatizadas (Bandit, análise de dependências) antes do lançamento.

Conformidade e certificações

Conforme GDPR

  • Acordos de processamento de dados
  • Direito de acesso e exclusão
  • Portabilidade de dados
  • Notificação de violação

PCI-DSS

  • Processamento de pagamento seguro via iyzico
  • Nenhum dado de cartão armazenado
  • Transações tokenizadas
  • Proteção contra fraudes

Resposta a incidentes

Nosso compromisso

No caso improvável de um incidente de segurança afetando seus dados, comprometemo-nos a:

  • Notificar os usuários afetados dentro de 72 horas após a descoberta
  • Fornecer informações claras sobre quais dados foram afetados
  • Tomar medidas imediatas para conter e remediar o incidente
  • Realizar análises pós-incidente completas

Relatar uma vulnerabilidade

Apreciamos a divulgação responsável. Se você descobrir uma vulnerabilidade de segurança, por favor, relate-a para nós em contact@clientflow.center

Confirmaremos o recebimento dentro de 24 horas e trabalharemos com você para entender e resolver o problema prontamente.

Documentos relacionados

Política de PrivacidadeAcordo de Processamento de DadosTermos de Serviço