Pontualy

Detalhes das Diretrizes de Segurança

Nossa equipe está comprometida em implementar as melhores práticas para proteger os dados dos usuários e a integridade da aplicação.

Política de Privacidade

Nossa política de privacidade segue padrões rigorosos para garantir que os dados dos usuários sejam tratados com confidencialidade e transparência. Aqui estão alguns pontos chave que detalham nossas práticas:

  • Coleta de Dados: Coletamos apenas informações essenciais, como nome, e-mail, telefone e dados de navegação. Nunca solicitamos dados confidenciais, como números de documentos, sem uma justificativa técnica e consentimento explícito.
  • Armazenamento: Todos os dados são armazenados em servidores protegidos por criptografia AES-256, um dos padrões mais seguros da indústria.
  • Compartilhamento: Não compartilhamos dados com terceiros sem consentimento. Caso haja necessidade (como integrações com terceiros), as informações são transmitidas via APIs seguras com autenticação OAuth 2.0.
  • Auditoria e Logs: Logs de acesso e atividade são mantidos por até 12 meses, permitindo auditorias e rastreamento de ações suspeitas.

Autenticação e Controle de Acesso

Implementamos um sistema de autenticação robusto e controle de acesso detalhado para proteger as informações dos usuários e da aplicação:

  • Autenticação de Dois Fatores (2FA): Oferecemos autenticação de dois fatores, integrando métodos como SMS, e-mail ou aplicativos de autenticação (Google Authenticator) para garantir que apenas usuários legítimos acessem suas contas.
  • Armazenamento Seguro de Senhas: Utilizamos o algoritmo bcrypt para hash de senhas, com um custo de processamento configurado para resistir a ataques de força bruta.
  • Controle de Acesso Baseado em Papéis (RBAC): Cada usuário é atribuído a um papel específico, com permissões restritas por nível de acesso. Apenas administradores têm acesso a configurações críticas.
  • Limitação de Sessões: Monitoramos e limitamos sessões ativas por conta para evitar acessos simultâneos de locais diferentes.

Segurança de Dados

Garantimos que os dados sejam protegidos contra acessos não autorizados e falhas de integridade:

  • Criptografia em Trânsito: Todas as conexões são protegidas com TLS 1.3 para evitar interceptações (man-in-the-middle attacks).
  • Backups Regulares: Realizamos backups incrementais diários e completos semanalmente, com armazenamento em locais geograficamente redundantes.
  • Proteção Contra Ameaças: Firewalls de próxima geração (NGFWs) e sistemas de detecção de intrusão (IDS/IPS) são utilizados para monitorar e bloquear atividades suspeitas.
  • Gerenciamento de Chaves: Chaves de criptografia são gerenciadas com segurança por meio de HSMs (Hardware Security Modules).

Práticas de Desenvolvimento Seguro

Nossa equipe segue rigorosamente práticas recomendadas para garantir que a aplicação seja desenvolvida de forma segura:

  • Análise Estática e Dinâmica de Código: Utilizamos ferramentas como SonarQube e Snyk para identificar vulnerabilidades antes da implantação.
  • Revisão por Pares: Todo código passa por revisão de segurança para minimizar a introdução de vulnerabilidades.
  • Testes de Penetração: Realizamos testes de penetração trimestrais com equipes internas e externas para identificar possíveis brechas.
  • Atualizações Contínuas: Mantemos todas as bibliotecas e dependências atualizadas para evitar vulnerabilidades conhecidas (como CVEs).