Segurança no núcleo do produto

Práticas e mecanismos que protegem seus dados e os dos seus clientes.

Pilares técnicos

Criptografia ponta a ponta

TLS 1.3 em trânsito, AES-256 em repouso para anexos e backups. Certificados gerenciados automaticamente.

Isolamento multi-tenant

Cada organização tem um tenant_id e nenhuma query cruza esse limite. Auditoria por organização.

Autenticação robusta

Senhas com bcrypt + salt, 2FA por e-mail/TOTP, refresh tokens rotacionados, expiração configurável.

Controle de acesso (RBAC)

4 papéis em Gestão (super-admin, admin, employee, user) e 5 em Vendas (super-admin, admin, manager, sales, viewer).

Auditoria de ações

Log imutável de eventos críticos por organização: login, criação/exclusão de recursos, alterações de permissão.

Backups e recuperação

Backups automáticos diários do Postgres com retenção de 30 dias. Point-in-time recovery em até 7 dias.

Práticas de desenvolvimento

Code review obrigatório, dependabot ativo, scans automáticos de vulnerabilidades antes de cada deploy.

Anexos protegidos

Armazenamento S3-compatible com URLs pré-assinadas e expiráveis. Verificação MIME e scan de malware.

Conformidade

LGPD (Lei nº 13.709/2018)

Atendemos integralmente os direitos dos titulares: confirmação, acesso, correção, exclusão, portabilidade e oposição. Encarregado (DPO) designado.

ISO 27001 (em adequação)

Adoção progressiva das práticas do anexo A. Plano de implementação documentado e revisado semestralmente.

Privacy by design

Minimização de dados, padrão restritivo em permissões, segregação de ambientes (dev/staging/prod), análise de impacto em alterações sensíveis.

Reportar vulnerabilidade

Encontrou uma falha de segurança? Reporte responsavelmente para security@oxlify.com. Recompensamos relatos válidos por programa próprio de bug bounty. Detalhes do escopo, regras e valores no e-mail de retorno.