Práticas de Segurança
Última atualização: 25 de abril de 2026
Criptografia
Toda comunicação entre seu navegador e nossos servidores é criptografada via TLS 1.2 ou superior (HTTPS). Os dados em repouso no banco de dados são criptografados com AES-256. Senhas nunca são armazenadas em texto plano — usamos hashing bcrypt com salt único por usuário.
Isolamento de Dados por Usuário
Implementamos Row Level Security (RLS) no banco de dados: cada consulta é filtrada automaticamente pelo identificador do usuário autenticado. Isso significa que, mesmo em caso de erro de aplicação, é tecnicamente impossível um usuário acessar dados de outro.
Autenticação
A autenticação é gerenciada pelo Supabase Auth, com tokens JWT de curta duração e refresh tokens rotacionados. Sessões expiram automaticamente após período de inatividade. Senhas exigem mínimo de 8 caracteres com letras maiúsculas, minúsculas e números. Recuperação de senha por e-mail exige link único de uso único.
Controle de Acesso Interno
Acesso à infraestrutura de produção é restrito a um número mínimo de engenheiros, com autenticação multifator obrigatória, registros de auditoria e princípio do menor privilégio. Nunca acessamos dados de usuários, exceto quando estritamente necessário para suporte técnico (com sua permissão explícita).
Backups e Recuperação
Backups automáticos são realizados diariamente pelo Supabase, com retenção de 7 a 30 dias dependendo do plano. Backups são criptografados e armazenados em região geográfica diferente da produção. Testamos procedimentos de restauração periodicamente.
Monitoramento e Resposta a Incidentes
Monitoramos a infraestrutura 24/7 para detectar anomalias, tentativas de acesso indevido e falhas de disponibilidade. Em caso de incidente que afete dados pessoais, notificamos os usuários afetados e a ANPD em até 72 horas, conforme exige a LGPD.
Atualizações de Segurança
Aplicamos correções de segurança em dependências críticas em até 48 horas após divulgação. Realizamos revisões periódicas de código, varreduras automatizadas de vulnerabilidades e mantemos as bibliotecas atualizadas via dependabot/renovate.
Programa de Divulgação Responsável
Pesquisadores que identificarem vulnerabilidades são incentivados a reportá-las de forma confidencial para flowcoresystem@gmail.com. Comprometemo-nos a: confirmar recebimento em 48h, investigar com seriedade, comunicar o progresso, e creditar publicamente quem ajudar (se desejar) após a correção.
Conformidade
Operamos em conformidade com: LGPD (Brasil), GDPR (UE), CCPA/CPRA (Califórnia) e princípios de segurança da ISO 27001. Nossos subprocessadores principais (Supabase, Netlify) possuem certificações SOC 2 Tipo II auditadas anualmente.
Sua Responsabilidade
Mesmo com nossas medidas, sua segurança também depende de você: use uma senha forte e única, não compartilhe credenciais, sempre saia ao usar dispositivos compartilhados, mantenha seu navegador atualizado, e desconfie de e-mails que peçam suas credenciais (nunca pediremos sua senha por e-mail).