Pular para conteúdo
Neurawlink
Segurança

Seu dado fiscal é sagrado. Tratamos como tal.

Construímos como banco constrói. Auditamos como auditor de banco audita. Aqui está como.

Arquitetura de segurança em camadas

Cada camada protege a próxima. Nenhum ponto único de falha.

1
Browser→ Cloudflare WAF → Vercel Edge
2
Next.js / APIAutenticação + autorização + rate limit
3
PostgreSQLRow-Level Security por tenant + AES-256
4
HSMCertificado digital — chave nunca sai
5
Backup cross-regionS3 cifrado + replicação geográfica

Criptografia

Em repouso, em trânsito e no HSM.

🔒

AES-256-GCM em repouso

Todos os campos sensíveis do PostgreSQL — senhas, tokens, NFe, dados pessoais — cifrados com AES-256-GCM. Chaves gerenciadas via KMS com rotação programada.

🛡️

TLS 1.3 em trânsito

Toda comunicação cliente-servidor e servidor-servidor usa TLS 1.3. HSTS preload, HTTP/2, OCSP stapling. Renovação automática via Cloudflare.

🔐

HSM para certificado ICP-Brasil

Certificado digital armazenado em Hardware Security Module. A chave privada nunca sai do HSM em texto claro. Operações de assinatura ocorrem dentro do HSM.

Isolamento multi-tenant

Cada cliente é um tenant isolado. Mesmo que o código de aplicação tenha um bug, a policy do banco garante que nenhuma query retorna dado de outro tenant.

  • PostgreSQL Row-Level Security — isolamento na camada de banco
  • tenantId em todas as tabelas multi-tenant obrigatório
  • Storage S3 com prefixo por tenant — IAM bloqueia acesso cruzado
  • Redis com namespace por tenant — vazamento impossível por construção

CREATE POLICY tenant_isolation ON "Invoice"
USING (
tenantId = current_setting(
'app.current_tenant'
)::UUID
);

Autenticação

Senhas
bcrypt cost 12 (OWASP 2024) — nunca em plaintext, nunca em log
2FA obrigatório
Perfis ADMIN e TENANT_ADMIN — TOTP (Google Auth, Authy, 1Password)
SSO
SAML/OIDC em Enterprise (Okta, Azure AD, Google Workspace)
Sessão
Cookie HttpOnly, Secure, SameSite=Strict — expiração configurável
Rate limit
Tentativas de login limitadas com bloqueio progressivo

Disponibilidade e Disaster Recovery

99,9%
SLA mensal
≈ 43 min downtime/mês
1h
RPO
Recovery Point Objective
4h
RTO
Recovery Time Objective
15 min
Backup incremental
Log transacional contínuo

Backup

  • • Backup diário completo + log a cada 15 minutos
  • • Replicação cross-region (SP + região distante)
  • • Restore testado mensalmente em ambiente isolado
  • • Retenção 30 dias com rotação automática

Certificado digital — HSM

  • • Chave privada inacessível mesmo para admins Neurawlink
  • • Assinatura ocorre dentro do HSM — só sai a assinatura
  • • Logs de uso com hash chain inviolável
  • • Alertas vencimento: D-60, D-30, D-15, D-7, D-1

Conformidade

Ativo

LGPD

DPO nomeado, RAT documentado, direitos Art. 18 atendidos

Em andamento

ISO 27001

Processo de certificação iniciado

Roadmap

SOC 2

Previsão TBD

N/A

PCI-DSS

Não armazenamos dados de cartão — gateway terceiro

LGPD — o que fazemos

DPO (Encarregado) nomeado — [email protected]
RAT documentado e revisado trimestralmente
Direitos LGPD Art. 18 via formulário em /lgpd
Política de retenção clara (5 anos para fiscal-contábil)
Subcontratantes mapeados com DPA assinado
Notificação de incidente em 48h conforme Art. 48
Privacy by Design e by Default
Consentimento granular para marketing

Pentest e auditoria

  • • Pentest externo trimestral por empresa especializada
  • • SAST e DAST automatizados em pipeline CI/CD
  • • Bug bounty privado com pesquisadores selecionados
  • • Resultados sumários publicados anualmente

Responsible Disclosure

Encontrou uma vulnerabilidade? Não publique antes de falar com a gente.

  • • Email: [email protected]
  • • Resposta inicial em até 48h úteis
  • • Programa de recompensa por vulnerabilidades validadas
Ver política completa

Dúvida sobre segurança?

Fale diretamente com nosso time de segurança. Sem chatbot.

Falar com o CISO

Política de Privacidade

Como coletamos, tratamos e protegemos seus dados pessoais conforme a LGPD.

Ler política