Segurança · LGPD
Política de Segurança da Informação
Atualizado em 17 de maio de 2026.
1. Princípios
A segurança da informação é tratada como compromisso operacional permanente, não como item de checklist. Quatro princípios orientam decisões:
- Confidencialidade: dados acessíveis apenas a quem tem necessidade legítima.
- Integridade: dados não podem ser alterados ou apagados acidentalmente ou sem autorização.
- Disponibilidade: dados acessíveis quando o cliente precisa (ver SLA).
- Privacidade: dados pessoais tratados conforme LGPD (ver Política de Privacidade).
2. Criptografia
- Em trânsito: todo o tráfego entre você e a Plataforma usa TLS 1.2 ou superior (HTTPS forçado, redirecionamento HTTP→HTTPS, HSTS habilitado).
- Em repouso: banco de dados (Supabase) usa criptografia padrão AES-256 nos volumes de storage. Backups criptografados.
- Segredos: chaves de API, tokens e credenciais ficam em variáveis de ambiente do Vercel marcadas como Sensitive. Nunca em código-fonte ou commits.
3. Controle de acesso
- Multitenant por design: cada organização opera em um espaço isolado. Isolamento garantido por Row-Level Security (RLS) no banco PostgreSQL — uma camada de segurança ao nível de cada linha de dado, não filtro de aplicação.
- Autenticação: Supabase Auth com tokens JWT, sessões seguras e logout em todas as sessões disponível.
- Privilégio mínimo: a Plataforma usa
anonclient para operações públicas eservice_roleapenas no backend, nunca exposto ao navegador. - Acesso administrativo interno: limitado ao fundador (Julio Cesar Binatti). Toda ação administrativa é auditável via logs do Supabase e Vercel.
4. Infraestrutura
- Hospedagem: Vercel (frontend e funções serverless) com edge na América do Sul; Supabase (banco e auth) na região
sa-east-1(São Paulo). - Provedores de IA: provedores de mercado (atualmente Google Gemini e OpenAI), acessados via API. Os provedores não retêm dados para treinamento de modelos públicos (conforme suas políticas de API empresarial).
- Hospedagem geográfica de dados: dados pessoais ficam preferencialmente no Brasil (Supabase sa-east-1); algum tráfego transita por servidores Vercel internacionais para fins de entrega.
- Domínios e DNS: gerenciados via registro.br (apex) com DKIM, SPF e MX configurados para email transacional.
5. Monitoramento e logs
- Logs de aplicação: capturados em runtime pelo Vercel (filtráveis por endpoint, status, request ID). Logs sensíveis sanitizados para não vazar dados pessoais ou segredos.
- Logs de banco: queries auditáveis no Supabase. Ações administrativas registradas com timestamp e usuário.
- Métricas de performance: Vercel Speed Insights (Core Web Vitals) e Analytics (anonimizado).
- Alertas: erros críticos disparam notificação interna para o time de operação.
6. Backups e disaster recovery
- Backups automatizados: diários, retenção 30 dias rolantes (provido por Supabase).
- RTO (Recovery Time Objective): 4 horas.
- RPO (Recovery Point Objective): 24 horas.
- Testes de restauração: realizados periodicamente em ambiente de staging para validar integridade dos backups.
7. Testes de segurança
- Revisão de código: cada mudança crítica passa por revisão antes do deploy em produção.
- Dependências: monitoramento contínuo de vulnerabilidades em pacotes via Dependabot (GitHub).
- Testes automatizados: pipeline de CI roda type check, lint e testes antes de aceitar pull requests.
- Pentests externos: não realizados ainda no atual estágio; previstos quando a Plataforma atingir 50+ organizações ativas ou conforme exigência contratual.
8. Responsabilidade compartilhada
Segurança é responsabilidade compartilhada:
- BinAItti é responsável por: segurança da infraestrutura, criptografia em trânsito e repouso, controle de acesso multitenant (RLS), patches e atualizações da plataforma.
- Cliente é responsável por: senhas fortes e confidenciais, controle de acesso interno (quem da equipe tem login), revisão do que membros publicam, conformidade da base de dados pessoal (consentimento LGPD), uso adequado conforme a AUP.
9. Conformidade
- LGPD (Lei 13.709/18) — aderência nativa. Detalhes em /privacidade.
- Marco Civil da Internet (Lei 12.965/14) — cumprimento dos princípios e armazenamento de logs de conexão quando aplicável.
- ISO 27001 / SOC 2: não certificados ainda. Os provedores que usamos (Vercel, Supabase, AWS, Google Cloud) têm certificações próprias relevantes.
10. Reporte de vulnerabilidades
Se você descobrir uma vulnerabilidade, reporte com responsabilidade para contato@binaitti.com.br com o assunto [SEGURANCA]. Investigamos com confidencialidade e damos crédito quando autorizado.
