Segurança & Proteção de Dados
A Central da Sucata é construída com práticas modernas de segurança para proteger o que há de mais valioso: os dados do seu negócio.
Todo o tráfego entre seu navegador e nossos servidores é criptografado com TLS. Nenhuma informação trafega em texto aberto.
Sua senha nunca é armazenada em texto plano. Utilizamos algoritmos de hashing modernos — nem nossa equipe consegue visualizá-la.
Cada usuário só enxerga seus próprios dados. As regras são aplicadas no banco de dados, não apenas na interface.
Registramos sessões, dispositivos, IPs e localização aproximada, alertando sobre acessos incomuns.
Papéis administrativos são armazenados em tabela separada com verificação server-side, impedindo escalação de privilégios.
Hospedamos a aplicação em infraestrutura de nuvem robusta, com backups automáticos do banco de dados.
Encontrou um problema de segurança? Escreva pelo WhatsApp com o assunto “Segurança” — sua contribuição é bem-vinda e tratada com prioridade e confidencialidade.
Como seus dados são armazenados e protegidos
Detalhamos abaixo, com transparência, as camadas técnicas que utilizamos para proteger as informações do seu negócio — do momento em que saem do seu dispositivo até quando ficam guardadas em nossa infraestrutura.
Criptografia em trânsito (HTTPS/TLS 1.2+)
- Todo o tráfego entre seu navegador/celular e nossos servidores usa TLS 1.2 ou superior, com certificados emitidos por autoridade certificadora reconhecida.
- HSTS habilitado: navegadores são instruídos a nunca acessar o site por HTTP puro.
- Chamadas para APIs internas e chamadas de servidor (server functions) exigem token de autenticação JWT assinado, enviado apenas via cabeçalho
Authorization: Bearersobre canal criptografado. - Nenhuma informação sensível (senha, token, dados operacionais) trafega em texto aberto ou por parâmetros de URL.
Criptografia em repouso (AES-256)
- O banco de dados PostgreSQL gerenciado que armazena todas as suas informações utiliza criptografia AES-256 no disco (encryption at rest).
- Backups automáticos diários também são armazenados criptografados, com retenção definida pelo provedor de nuvem.
- As chaves de criptografia são gerenciadas pelo provedor de infraestrutura, com rotação periódica — nossa equipe não tem acesso direto às chaves mestras.
- Segredos da aplicação (chaves de API, tokens de integração) ficam em um cofre de variáveis de ambiente isolado, nunca versionado em código.
Como suas senhas são armazenadas
- Sua senha nunca é gravada em texto plano — em nenhum log, banco, backup ou tela administrativa.
- Utilizamos hashing criptográfico com bcrypt, algoritmo padrão da indústria, com salt único por usuário e fator de custo adequado para dificultar ataques de força bruta.
- Como o hash é unidirecional, nem nossa equipe consegue recuperar sua senha. Se você esquecer, o único caminho é redefini-la por e-mail.
- A verificação da senha acontece no servidor de autenticação, com comparação em tempo constante para evitar ataques de temporização.
- Sessões são mantidas por tokens JWT com expiração curta e renovação automática — não guardamos sua senha em cookies nem em
localStorage. - Opcionalmente, verificamos senhas contra a base pública de vazamentos Have I Been Pwned, bloqueando senhas já comprometidas.
Controle de acesso aos dados
- Row-Level Security (RLS) ativo em todas as tabelas: as regras de quem pode ler ou alterar cada linha são aplicadas no próprio banco, não apenas na interface.
- Papéis administrativos ficam em tabela separada, verificados por função security definer — impossibilitando escalação de privilégios pelo cliente.
- Operações sensíveis (financeiro, saques, ajustes) exigem autenticação renovada e ficam registradas em trilha de auditoria.
- Chaves de serviço com privilégios elevados nunca são expostas ao navegador — só circulam entre servidor e banco de dados.
Infraestrutura e retenção
- Hospedagem em provedores de nuvem de nível empresarial, com data centers certificados (ISO 27001, SOC 2 pelos próprios provedores).
- Backups automáticos diários do banco de dados, com possibilidade de restauração pontual (point-in-time recovery).
- Retenção mínima necessária: dados operacionais são mantidos enquanto sua conta estiver ativa; após encerramento, respeitamos prazos legais aplicáveis (ex.: obrigações fiscais).
- Ao excluir a conta, os dados pessoais são anonimizados ou eliminados conforme sua solicitação — veja a Política de Privacidade.
Esta página descreve controles adotados pela plataforma e é mantida por Nilo Studio. Não substitui certificação independente.