Skip to content

A versão em inglês deste documento é a oficial. Esta tradução é fornecida apenas por conveniência.

Jurídico

Security Overview

v1.0 · Em vigor desde 2026-07-06

1. Visão Geral

Esta página descreve as medidas de segurança que protegem seus dados no Brainpercent, operado pela Brainpercent, LLC (Delaware, EUA). Descrevemos apenas o que realmente existe hoje. Não alegamos certificações que não possuímos. Para saber como processamos dados pessoais, consulte nossa Política de Privacidade e o Adendo de Processamento de Dados (DPA).

2. Criptografia

Seus dados são criptografados em todas as etapas:

  • Em repouso: criptografia AES-256 para o banco de dados e o armazenamento de arquivos (Supabase Postgres e Storage, hospedados na UE, região de Frankfurt).
  • Tokens de contas conectadas: os tokens OAuth das suas contas sociais conectadas são adicionalmente criptografados no nível da aplicação com AES-256-GCM, com vetor de inicialização único e tag de autenticação por segredo.
  • Em trânsito: TLS 1.2 ou superior para todas as conexões entre seu navegador, nossos servidores e nossos provedores de serviços.

3. Controle de Acesso

O acesso aos seus dados é restrito em várias camadas:

  • Segurança em nível de linha: a row-level security (RLS) do Postgres restringe cada consulta ao seu próprio usuário no nível do banco de dados, de modo que um usuário não pode ler as linhas de outro.
  • Separação de papéis: os clientes de banco de dados são separados por papéis. O cliente que roda no seu navegador nunca possui credenciais administrativas; operações privilegiadas rodam apenas no servidor.
  • Segredos criptografados: chaves de API e segredos de ambiente são armazenados criptografados no Vercel e no Supabase e nunca são incluídos no controle de versão.

4. Segurança da Aplicação

A aplicação e suas integrações são reforçadas:

  • Cabeçalhos de segurança: HSTS e cabeçalhos de segurança adicionais são definidos nas respostas para impor HTTPS e reduzir superfícies de ataque web comuns.
  • Validação de assinaturas de webhooks: webhooks recebidos (Stripe, Inngest) são verificados contra suas assinaturas criptográficas antes de qualquer processamento.
  • Limitação de taxa: a limitação de taxa distribuída nos endpoints de autenticação retarda tentativas de credential stuffing e força bruta.

5. Segurança de Pagamentos

Os dados de cartões de pagamento são tratados inteiramente pela Stripe, um processador de pagamentos certificado PCI-DSS. Os números dos cartões nunca tocam nossos servidores e nunca os armazenamos. Guardamos apenas as referências não sensíveis fornecidas pela Stripe (como IDs de cliente e de assinatura).

6. Monitoramento e Resposta a Incidentes

Monitoramos problemas e nos comprometemos a notificá-lo quando importam:

  • Monitoramento de erros: erros da aplicação são capturados e monitorados via Sentry.
  • Notificação de violações: se uma violação de dados afetar seus dados pessoais, notificaremos os usuários afetados e as autoridades competentes em até 72 horas quando a lei exigir (como o Artigo 33 do GDPR).

7. Limitações Atuais

Preferimos honestidade a teatro de segurança. Eis o que ainda não temos:

  • Empresa de operador único: o Brainpercent é atualmente construído e operado por uma única pessoa. Não há equipe de segurança 24/7 nem separação de funções entre várias pessoas. O acesso à produção é limitado a essa única pessoa, o que também mantém mínima a superfície de ataque interna.
  • SOC 2 / ISO 27001: ainda não disponível. Não alegamos SOC 2, ISO 27001 ou qualquer outra certificação que não possuímos, e não concluímos um teste de penetração de terceiros.

8. Divulgação Responsável

Se você acredita ter encontrado uma vulnerabilidade de segurança, escreva para edward@brainpercent.com com o assunto "Security".

Inclua os passos para reproduzir. Por favor, não acesse dados de outros usuários, não degrade o Serviço nem divulgue publicamente o problema antes que tenhamos uma chance razoável de corrigi-lo. Lemos todos os relatos e buscamos responder em 72 horas.