← Voltar

Segurança

Como protegemos os dados das lojas e dos consumidores finais.

Última atualização: Maio de 2026

Infraestrutura

  • Hospedagem: Vercel (frontend) + Supabase (backend e banco) — ambos com certificação SOC 2 Type II.
  • Banco de dados: PostgreSQL gerenciado pela Supabase, com backups automáticos diários e Point-In-Time Recovery.
  • Storage: buckets isolados por finalidade, com políticas de acesso baseadas em RLS (Row Level Security).
  • CDN: distribuição global pela Vercel Edge Network.

Criptografia

  • TLS 1.3 obrigatório em trânsito.
  • Criptografia AES-256 em repouso para banco e storage.
  • Tokens de integração com plataformas de e-commerce armazenados de forma cifrada.

Controle de acesso

  • Multi-tenant isolation: dados de uma loja são logicamente isolados dos demais via Row Level Security e filtros de tenant_id em todas as consultas.
  • Autenticação: Supabase Auth com tokens JWT de curta duração.
  • Privilégio mínimo: equipe interna só acessa dados quando estritamente necessário, mediante log auditado.

Segurança da IA

  • Prompts protegidos contra injeção (instruções imutáveis no system prompt).
  • A IA é instruída a NUNCA revelar dados pessoais (CPF, e-mail, endereço) na conversa.
  • Anti-loop: limite automático de tentativas pra evitar conversas circulares.
  • Hard escalation: situações de risco (ameaça legal, cliente irritado) escalam pra humano em até 1 turno.

Monitoramento e auditoria

  • Logs de webhook, processamento de IA e ações de painel mantidos por 24 meses.
  • Detecção automática de bots, loops e mensagens spam.
  • Alertas de anomalias (volume incomum, falhas de integração, tentativas de auth).

Resposta a incidentes

Em caso de incidente envolvendo dados pessoais, seguimos um processo formal: contenção em até 4h, notificação aos titulares afetados em até 48h, comunicação à ANPD nos prazos da LGPD, e relatório público resumido depois da resolução.

Disclosure responsável

Identificou uma vulnerabilidade? Reporte para security@noraia.pro. Não divulgue publicamente antes de nos dar oportunidade de corrigir. Pesquisadores que reportarem problemas válidos serão reconhecidos publicamente (com permissão).

Conformidade

  • LGPD — Lei 13.709/2018.
  • Marco Civil da Internet — Lei 12.965/2014.
  • Boas práticas OWASP Top 10.