RealPrazo

Segurança

Como protegemos os dados dos nossos clientes, dos colaboradores cadastrados e da operação.

Criptografia em trânsito

Todo tráfego entre o navegador, o servidor e integrações (Meta/WhatsApp, Asaas, Supabase, Resend) usa TLS 1.2 ou superior. Certificados gerenciados pela Vercel, renovados automaticamente, com HSTS (Strict-Transport-Security) habilitado em produção para impedir downgrade para HTTP.

Isolamento de dados por cliente

O banco de dados é PostgreSQL gerenciado pela Supabase com Row Level Security (RLS) habilitado em todas as tabelas que contêm dados de clientes. Cada query respeita automaticamente o escopo do usuário autenticado — não há consulta cross-tenant sem autorização explícita de admin.

Autenticação

  • Autenticação via Supabase Auth, com hashing de senhas usando bcrypt.
  • Tokens de sessão JWT assinados e com expiração controlada.
  • Cookies HTTP-only e SameSite para mitigação de XSS e CSRF.
  • Links de atualização do colaborador (/update/[token]) usam tokens opacos de uso limitado, que expiram com o ciclo.

Processamento de pagamentos

Pagamentos são processados integralmente pela Asaas (instituição autorizada pelo Banco Central do Brasil). O RealPrazo não armazena dados de cartão de crédito (PAN, CVV, validade) — todas as transações sensíveis ocorrem dentro da infraestrutura PCI-DSS da Asaas.

WhatsApp e mensageria

  • Envio exclusivo via API oficial do WhatsApp Business Cloud API (Meta Platforms Inc.).
  • Webhooks autenticados com verificação de assinatura HMAC usando App Secret.
  • Consentimento explícito (opt-in) exigido antes de qualquer envio.
  • Opt-out imediato com palavra-chave "SAIR" — processado automaticamente.
  • Limites anti-spam aplicados por destinatário e por projeto.
  • Suspensão automática se o quality rating da conta degradar.

Infraestrutura e monitoramento

  • Hospedagem na Vercel, com mitigação automática de DDoS no edge.
  • Headers de segurança obrigatórios: X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Logs de aplicação retidos com retenção compatível com requisitos legais.
  • Backups automáticos do banco via Supabase (diários).
  • Segredos armazenados em variáveis de ambiente criptografadas (nunca no código).

Resposta a incidentes

Suspeitas de incidente de segurança devem ser reportadas para contato@realprazo.com.br com assunto "SEGURANÇA". Nossa política é:

  1. Triagem inicial em até 24 horas úteis.
  2. Mitigação imediata se houver risco ativo aos clientes.
  3. Comunicação aos titulares afetados se houver vazamento de dados pessoais (em conformidade com a LGPD, art. 48).
  4. Post-mortem publicado quando apropriado.

Divulgação responsável

Pesquisadores de segurança que identifiquem vulnerabilidades podem reportar pelo e-mail acima. Compromisso de não retaliação e resposta técnica em até 5 dias úteis após o reporte.