BinAIttiDiagnóstico gratuito

Segurança · LGPD

Política de Segurança da Informação

Atualizado em 17 de maio de 2026.

1. Princípios

A segurança da informação é tratada como compromisso operacional permanente, não como item de checklist. Quatro princípios orientam decisões:

  • Confidencialidade: dados acessíveis apenas a quem tem necessidade legítima.
  • Integridade: dados não podem ser alterados ou apagados acidentalmente ou sem autorização.
  • Disponibilidade: dados acessíveis quando o cliente precisa (ver SLA).
  • Privacidade: dados pessoais tratados conforme LGPD (ver Política de Privacidade).

2. Criptografia

  • Em trânsito: todo o tráfego entre você e a Plataforma usa TLS 1.2 ou superior (HTTPS forçado, redirecionamento HTTP→HTTPS, HSTS habilitado).
  • Em repouso: banco de dados (Supabase) usa criptografia padrão AES-256 nos volumes de storage. Backups criptografados.
  • Segredos: chaves de API, tokens e credenciais ficam em variáveis de ambiente do Vercel marcadas como Sensitive. Nunca em código-fonte ou commits.

3. Controle de acesso

  • Multitenant por design: cada organização opera em um espaço isolado. Isolamento garantido por Row-Level Security (RLS) no banco PostgreSQL — uma camada de segurança ao nível de cada linha de dado, não filtro de aplicação.
  • Autenticação: Supabase Auth com tokens JWT, sessões seguras e logout em todas as sessões disponível.
  • Privilégio mínimo: a Plataforma usa anon client para operações públicas e service_role apenas no backend, nunca exposto ao navegador.
  • Acesso administrativo interno: limitado ao fundador (Julio Cesar Binatti). Toda ação administrativa é auditável via logs do Supabase e Vercel.

4. Infraestrutura

  • Hospedagem: Vercel (frontend e funções serverless) com edge na América do Sul; Supabase (banco e auth) na região sa-east-1 (São Paulo).
  • Provedores de IA: provedores de mercado (atualmente Google Gemini e OpenAI), acessados via API. Os provedores não retêm dados para treinamento de modelos públicos (conforme suas políticas de API empresarial).
  • Hospedagem geográfica de dados: dados pessoais ficam preferencialmente no Brasil (Supabase sa-east-1); algum tráfego transita por servidores Vercel internacionais para fins de entrega.
  • Domínios e DNS: gerenciados via registro.br (apex) com DKIM, SPF e MX configurados para email transacional.

5. Monitoramento e logs

  • Logs de aplicação: capturados em runtime pelo Vercel (filtráveis por endpoint, status, request ID). Logs sensíveis sanitizados para não vazar dados pessoais ou segredos.
  • Logs de banco: queries auditáveis no Supabase. Ações administrativas registradas com timestamp e usuário.
  • Métricas de performance: Vercel Speed Insights (Core Web Vitals) e Analytics (anonimizado).
  • Alertas: erros críticos disparam notificação interna para o time de operação.

6. Backups e disaster recovery

  • Backups automatizados: diários, retenção 30 dias rolantes (provido por Supabase).
  • RTO (Recovery Time Objective): 4 horas.
  • RPO (Recovery Point Objective): 24 horas.
  • Testes de restauração: realizados periodicamente em ambiente de staging para validar integridade dos backups.

7. Testes de segurança

  • Revisão de código: cada mudança crítica passa por revisão antes do deploy em produção.
  • Dependências: monitoramento contínuo de vulnerabilidades em pacotes via Dependabot (GitHub).
  • Testes automatizados: pipeline de CI roda type check, lint e testes antes de aceitar pull requests.
  • Pentests externos: não realizados ainda no atual estágio; previstos quando a Plataforma atingir 50+ organizações ativas ou conforme exigência contratual.

8. Responsabilidade compartilhada

Segurança é responsabilidade compartilhada:

  • BinAItti é responsável por: segurança da infraestrutura, criptografia em trânsito e repouso, controle de acesso multitenant (RLS), patches e atualizações da plataforma.
  • Cliente é responsável por: senhas fortes e confidenciais, controle de acesso interno (quem da equipe tem login), revisão do que membros publicam, conformidade da base de dados pessoal (consentimento LGPD), uso adequado conforme a AUP.

9. Conformidade

  • LGPD (Lei 13.709/18) — aderência nativa. Detalhes em /privacidade.
  • Marco Civil da Internet (Lei 12.965/14) — cumprimento dos princípios e armazenamento de logs de conexão quando aplicável.
  • ISO 27001 / SOC 2: não certificados ainda. Os provedores que usamos (Vercel, Supabase, AWS, Google Cloud) têm certificações próprias relevantes.

10. Reporte de vulnerabilidades

Se você descobrir uma vulnerabilidade, reporte com responsabilidade para contato@binaitti.com.br com o assunto [SEGURANCA]. Investigamos com confidencialidade e damos crédito quando autorizado.