Segurança não é uma funcionalidade — é a base da nossa plataforma. Conheça as medidas técnicas e organizacionais que protegem seus dados.
TLS 1.3 enforçado em todas as conexões. Certificados SSL gerenciados via Let's Encrypt com rotação automática.
Criptografia AES-256 para dados armazenados. Chaves gerenciadas com rotação periódica.
Hashing com Scrypt (Lucia) — algoritmo de derivação de chave resistente a ataques de força bruta e hardware especializado (ASICs/GPUs).
Tokens de API e segredos internos armazenados como variáveis de ambiente, nunca no código-fonte.
Autenticação por email e senha com hashing seguro. Sessões gerenciadas com tokens temporários e revogação automática.
Quatro níveis de acesso: superadmin, admin, analyst e viewer. Cada papel tem permissões específicas e granulares.
Todo novo registro passa por validação humana pela equipe Stratir antes de receber acesso à plataforma.
Consultas limitadas por plano e por período. APIs internas protegidas contra abuso com throttling.
Amazon Web Services (AWS) — data centers certificados SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018 e PCI DSS Nível 1.
Convex, Inc. — banco de dados e funções serverless com isolamento de tenants e backups automáticos.
Nginx com terminação SSL, cabeçalhos de segurança (HSTS, X-Frame-Options, CSP) e proteção contra ataques comuns.
Stripe, Inc. — certificação PCI DSS Nível 1. Dados de cartão nunca transitam pelos nossos servidores.
Toda entrada do usuário é sanitizada e validada antes do processamento para prevenir injeção de código (XSS, SQL Injection).
APIs internas protegidas com segredos de autenticação (headers internos). Endpoints públicos inexistentes para dados sensíveis.
Todas as operações críticas (consultas, créditos, pagamentos) são validadas no servidor, não no cliente.
Todo acesso e consulta é registrado com timestamp, IP e identificação do usuário para rastreabilidade completa.
PM2 para gerenciamento de processos com reinício automático em caso de falha. Monitoramento de uptime 24/7.
Backups automáticos do banco de dados com retenção de 30 dias e capacidade de restauração point-in-time.
Atualização regular de pacotes e bibliotecas. Monitoramento de vulnerabilidades conhecidas (CVEs).
Acesso SSH aos servidores via chaves RSA (sem senha). Acesso restrito a pessoal autorizado.
A Stratir mantém um plano de resposta a incidentes de segurança conforme Art. 48 da LGPD e boas práticas internacionais (NIST Cybersecurity Framework):
Detecção imediata e isolamento do incidente para prevenir propagação.
Análise da natureza, categoria de dados afetados e riscos aos titulares.
Comunicação à ANPD e aos titulares afetados em prazo razoável (Art. 48, LGPD).
Implementação de correções e revisão de processos para evitar recorrência.
Valorizamos a segurança da comunidade. Se você identificar uma vulnerabilidade de segurança na plataforma VERO, pedimos que nos informe de forma responsável antes de divulgar publicamente.
Para reportar uma vulnerabilidade:
Envie um email para Vance@Stratir.com com o assunto "Vulnerabilidade de Segurança — VERO". Inclua detalhes da vulnerabilidade, passos para reprodução e impacto potencial.
Nos comprometemos a investigar e responder a todos os relatórios em até 48 horas.