Reverba
Começar grátis

Documento legal

Política de Segurança da Informação

Controles técnicos e organizacionais adotados pela Oneck Creative LTDA para proteger a confidencialidade, integridade e disponibilidade dos dados tratados pela Reverba. Estruturada com base em ISO 27001/27002, atendendo aos requisitos do Art. 46 da LGPD e Art. 32 do GDPR.

Última revisão
Em vigor desde
Versão
v1.0

Read in English

1. Objetivo

Estabelecer diretrizes obrigatórias que orientam todos os colaboradores, prestadores de serviço e sub-processadores que tratam dados em nome da Reverba. A política define controles mínimos para proteger ativos de informação contra acesso não autorizado, perda, alteração indevida ou indisponibilidade.

2. Escopo

Aplicável a:

  • Todos os sistemas, bancos de dados e arquivos sob gestão da Reverba.
  • Todo colaborador, contratante ou parceiro com acesso a dados pessoais ou sensíveis tratados pela Reverba.
  • Todos os ambientes (produção, homologação, desenvolvimento) e dispositivos (servidores, estações de trabalho, dispositivos móveis corporativos) usados na prestação do serviço.

3. Governança e responsabilidades

  • Diretoria da Oneck Creative LTDA: aprova esta política, aloca recursos e responde por desvios graves.
  • Encarregado pela Proteção de Dados (DPO): privacidade@reverba.com.br. Recebe comunicações de titulares e da ANPD; orienta sobre práticas; supervisiona conformidade com LGPD/GDPR.
  • Tech Lead: é responsável pelos controles técnicos do código (hardening, criptografia, code review, vulnerabilidades) e pela manutenção dos pipelines de CI/CD.
  • Operação: executa procedimentos de backup, monitoramento e resposta a incidentes conforme Plano de Resposta a Incidentes.

4. Classificação de dados

Dados tratados pela Reverba são classificados em três níveis:

NívelExemplosControles mínimos
ConfidencialSenhas (hash), tokens OAuth de marketplace, chaves de criptografia, dados de pagamento (manipulados por Mercado Pago)Criptografia em repouso e em trânsito; acesso restrito por papel; auditoria obrigatória
RestritoPII de Operadores e Contatos (nome, email, telefone, histórico de compra), conteúdo de mensagensCriptografia em trânsito; isolamento multi-tenant; acesso por necessidade; logs de leitura para ações sensíveis
InternoLogs operacionais agregados, métricas de uso, telemetria com IP anonimizadoAcesso por colaboradores autorizados; retenção limitada

5. Controle de acesso

  • Princípio do privilégio mínimo: todo colaborador recebe apenas as permissões estritamente necessárias para sua função.
  • Autenticação: senhas armazenadas com bcrypt (custo 10), tokens JWT com TTL de 15 minutos para acesso e 30 dias para refresh com rotação. Compartilhamento de credenciais é proibido.
  • Papéis no produto: OWNER (administrador da conta), ADMIN (gestor operacional), SELLER (operador). Cada endpoint da API valida o papel mínimo exigido.
  • Acessos administrativos: o painel de produção é acessível apenas pela equipe técnica via VPN dedicada; acesso ao banco de dados produtivo exige autorização do Tech Lead e fica registrado em log.
  • Revogação: ao desligamento de qualquer colaborador, todos os acessos são revogados em até 24h (objetivo: 1h em incidentes envolvendo equipe).
  • MFA: implementação obrigatória para administradores está em roadmap (Q3 2026); enquanto isso, senhas longas e únicas + monitoramento de logins suspeitos cobrem o gap.

6. Criptografia

  • Em trânsito: TLS 1.2+ obrigatório em todos os endpoints públicos. HSTS ativo. Security headers via helmet (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
  • Em repouso:
    • Senhas: bcrypt cost 10 (custo >100ms para força bruta).
    • Tokens OAuth de TikTok Shop, Mercado Livre, Shopee e Meta: AES-256-GCM com chaves de 256 bits geradas via openssl rand -hex 32, persistidas em .env.
    • Postgres: criptografia de disco (Full Disk Encryption) fornecida pelo VPS provider.
  • Gerenciamento de chaves: chaves de criptografia ficam fora do controle de versão; armazenadas apenas no .env do servidor de produção e em cofre offline. Rotação programada a cada 12 meses ou em incidente.
  • Webhooks: HMAC-SHA256 obrigatório em todo webhook recebido (TikTok Shop, Shopee, Mercado Livre, Meta). Assinaturas inválidas geram 401 e log de alerta.

7. Segurança de rede

  • Segregação: ambiente de produção isolado via firewall do VPS, com regras de entrada restritas (apenas 443/HTTPS público, 22/SSH apenas pelo IP da equipe). Banco de dados não tem porta exposta à internet — só atende localhost do servidor da aplicação.
  • Anti-DDoS / Anti-bot: throttler global em endpoints sensíveis; Cloudflare na frente do website público e do API gateway.
  • CORS: lista restrita de origens permitidas (sem wildcards) — definida em .env.
  • IP allowlist em webhooks: opcional por integração (aplicável quando a plataforma origem publica range estável).

8. Endpoints corporativos

  • Estações de trabalho da equipe usam macOS com FileVault ativado, atualização automática de sistema operacional, e senhas locais com complexidade mínima.
  • Software antivírus “Endpoint Detection and Response” (XProtect nativo do macOS + monitoramento adicional) instalado em todas as estações com acesso a dados de produção.
  • Repositórios de código privados; chaves SSH protegidas por senha; commits assinados via GPG quando viável.

9. Desenvolvimento seguro

  • SDLC: ramificação por feature; PRs revisados por pelo menos 1 outro engenheiro antes do merge em main.
  • Dependências: npm audit recorrente; vulnerabilidades críticas tratadas em até 7 dias úteis.
  • Validação de entrada: pipeline global Nest com class-validator forçando whitelisting + Zod em payloads críticos. Recusa de campos não declarados.
  • Prevenção de injection: ORM Prisma com prepared statements; sem concatenação manual de SQL.
  • Tests: cobertura mínima de 70% no backend; suite e2e valida isolamento multi-tenant a cada deploy.
  • Secret scanning: pre-commit hook impede commit de tokens, chaves AWS, senhas em texto plano.

10. Gestão de fornecedores

Cada sub-processador listado em Privacidade § 5 passa por avaliação prévia, considerando:

  • Reputação e histórico de incidentes públicos.
  • Existência de Data Processing Agreement (DPA) e cláusulas de transferência internacional quando aplicável.
  • Certificações disponíveis (SOC 2, ISO 27001, PCI-DSS para pagamentos).
  • Localização dos dados e bases legais de transferência.

Mudanças relevantes (troca de provedor, novas regiões) são comunicadas com 14 dias de antecedência aos Operadores titulares.

11. Gestão de vulnerabilidades

  • Monitoramento: npm audit executado em cada CI; alerts automáticos do GitHub Dependabot.
  • Classificação: vulnerabilidades classificadas em CRÍTICA / ALTA / MÉDIA / BAIXA conforme CVSS.
  • SLAs de remediação:
    • CRÍTICA: até 7 dias úteis.
    • ALTA: até 30 dias.
    • MÉDIA: até 90 dias.
    • BAIXA: próximo ciclo de manutenção.
  • Reporte responsável: pesquisadores que identifiquem vulnerabilidades podem reportar via privacidade@reverba.com.br. Não retaliamos pesquisa de boa-fé.
  • Pentest: pentest externo está previsto no roadmap para 2026 (após estabilização da plataforma).

12. Continuidade do negócio e backup

  • Backups Postgres: snapshots completos diários + WAL streaming contínuo. Retenção: 30 dias rotativos.
  • Localização: backups armazenados na mesma região (Brasil) em volume separado do servidor primário.
  • Restore drill: teste de restore trimestral em ambiente isolado; documentação atualizada.
  • RTO (Recovery Time Objective): 4 horas para incidente catastrófico.
  • RPO (Recovery Point Objective): 1 hora.

13. Auditoria e logs

  • Logs de aplicação: todas as requests registradas via Pino (estruturado JSON) com request-id; retenção 90 dias.
  • Audit log de domínio: ações destrutivas e modificadoras de permissão registradas em tabela dedicada (AuditLog) com ator, timestamp, IP, payload sanitizado; retenção 2 anos.
  • Logs de webhook: cada webhook recebido tem ID de evento idempotente em MarketplacePushInbox — permite replay e dedupe.

14. Roadmap de melhorias

Reconhecemos limites e mantemos transparência sobre eles. Itens em desenvolvimento ou avaliação:

  • MFA obrigatório para Operadores com papel OWNER e ADMIN — Q3 2026.
  • Pentest externo com fornecedor reconhecido — avaliação em 2026.
  • Certificação SOC 2 Tipo 2 — em avaliação para 2027 conforme volume de clientes enterprise.
  • HSM gerenciado para chaves de criptografia (em vez de .env) — em avaliação.

Atualizações materiais a esta política são comunicadas conforme §13 da Política de Privacidade.