Segurança em Primeiro Lugar
Sua confiança é nossa prioridade. Conheça nossas práticas de segurança, compliance e como reportar vulnerabilidades.
Proteção em todas as camadas.
Práticas de Segurança
Criptografia
- TLS 1.3 para todas as conexões
- AES-256 para dados em repouso
- bcrypt para senhas (10 rounds)
- Chaves SSH nunca armazenadas
Monitoramento
- Logs de auditoria de todas as ações
- Detecção de atividades suspeitas
- Alertas em tempo real
- Rate limiting e proteção DDoS
Autenticação
- MFA (Multi-Factor Authentication)
- SSO (Google, GitHub)
- Sessões seguras via Clerk
- API keys com scopes limitados
Compliance
- LGPD compliant (Brasil)
- GDPR compliant (EU)
- SOC 2 Type II (em progresso)
- Auditorias trimestrais
Segurança da Infraestrutura
Produção
Isolada, sem acesso direto, deploy via CI/CD
Staging
Réplica de produção para testes
Desenvolvimento
Ambiente local com dados fake
Secrets nunca commitados no código
Variáveis via Vercel/Convex
API keys rotacionadas trimestralmente
Para secrets sensíveis (futuro)
Responsible Disclosure Program
Agradecemos pesquisadores de segurança que reportam vulnerabilidades de forma responsável.
Envie detalhes para security@infraai.com
Use PGP para informações sensíveis: PGP Key
Inclua: descrição detalhada, steps to reproduce, impacto, evidências
Aguarde nossa resposta em até 48h úteis
Não divulgue antes de correção
Não explore para acessar dados de terceiros
Não use social engineering contra funcionários
Não execute testes sem autorização
Critical
R$ 500 - R$ 2.000
High
R$ 200 - R$ 500
Medium
R$ 100 - R$ 200
Low
Reconhecimento público
Hall of Fame
Pesquisadores que reportaram vulnerabilidades serão listados aqui (com permissão).
Nenhuma vulnerabilidade reportada ainda. Seja o primeiro!
Plano de Resposta a Incidentes
1. Detecção
Monitoramento 24/7, alertas automáticos, análise de logs
2. Contenção
Isolamento do sistema afetado, bloqueio de IPs maliciosos, rollback se necessário
3. Erradicação
Correção da vulnerabilidade, remoção de backdoors, patch deployment
4. Recuperação
Restore de backups, validação de integridade, testes completos
5. Lições Aprendidas
Post-mortem, documentação, melhorias de processo
Usuários afetados serão notificados em até 72h (LGPD/GDPR) via email.
Segurança de Terceiros
Nossos subprocessadores passam por rigorosa due diligence
Clerk (Auth)
- SOC 2 Type II
- GDPR compliant
- Uptime 99.99%
Convex (Database)
- SOC 2 Type II
- GDPR compliant
- Encryption at rest
Stripe (Payments)
- PCI DSS Level 1
- SOC 2 Type II
- ISO 27001
Vercel (Hosting)
- SOC 2 Type II
- GDPR compliant
- DDoS protection
Contato de Segurança
Vulnerabilidades
security@infraai.comIncidentes (Urgente)
incident@infraai.comPGP Public Key
Download PGP KeyPronto para Começar?
Automatize deploy de infraestrutura com segurança em todas as camadas.
Proteção garantida. Transparência total.