1. Visão Geral
Esta página descreve as medidas de segurança que protegem seus dados no Brainpercent, operado pela Brainpercent, LLC (Delaware, EUA). Descrevemos apenas o que realmente existe hoje. Não alegamos certificações que não possuímos. Para saber como processamos dados pessoais, consulte nossa Política de Privacidade e o Adendo de Processamento de Dados (DPA).
2. Criptografia
Seus dados são criptografados em todas as etapas:
- Em repouso: criptografia AES-256 para o banco de dados e o armazenamento de arquivos (Supabase Postgres e Storage, hospedados na UE, região de Frankfurt).
- Tokens de contas conectadas: os tokens OAuth das suas contas sociais conectadas são adicionalmente criptografados no nível da aplicação com AES-256-GCM, com vetor de inicialização único e tag de autenticação por segredo.
- Em trânsito: TLS 1.2 ou superior para todas as conexões entre seu navegador, nossos servidores e nossos provedores de serviços.
3. Controle de Acesso
O acesso aos seus dados é restrito em várias camadas:
- Segurança em nível de linha: a row-level security (RLS) do Postgres restringe cada consulta ao seu próprio usuário no nível do banco de dados, de modo que um usuário não pode ler as linhas de outro.
- Separação de papéis: os clientes de banco de dados são separados por papéis. O cliente que roda no seu navegador nunca possui credenciais administrativas; operações privilegiadas rodam apenas no servidor.
- Segredos criptografados: chaves de API e segredos de ambiente são armazenados criptografados no Vercel e no Supabase e nunca são incluídos no controle de versão.
4. Segurança da Aplicação
A aplicação e suas integrações são reforçadas:
- Cabeçalhos de segurança: HSTS e cabeçalhos de segurança adicionais são definidos nas respostas para impor HTTPS e reduzir superfícies de ataque web comuns.
- Validação de assinaturas de webhooks: webhooks recebidos (Stripe, Inngest) são verificados contra suas assinaturas criptográficas antes de qualquer processamento.
- Limitação de taxa: a limitação de taxa distribuída nos endpoints de autenticação retarda tentativas de credential stuffing e força bruta.
5. Segurança de Pagamentos
Os dados de cartões de pagamento são tratados inteiramente pela Stripe, um processador de pagamentos certificado PCI-DSS. Os números dos cartões nunca tocam nossos servidores e nunca os armazenamos. Guardamos apenas as referências não sensíveis fornecidas pela Stripe (como IDs de cliente e de assinatura).
6. Monitoramento e Resposta a Incidentes
Monitoramos problemas e nos comprometemos a notificá-lo quando importam:
- Monitoramento de erros: erros da aplicação são capturados e monitorados via Sentry.
- Notificação de violações: se uma violação de dados afetar seus dados pessoais, notificaremos os usuários afetados e as autoridades competentes em até 72 horas quando a lei exigir (como o Artigo 33 do GDPR).
7. Limitações Atuais
Preferimos honestidade a teatro de segurança. Eis o que ainda não temos:
- Empresa de operador único: o Brainpercent é atualmente construído e operado por uma única pessoa. Não há equipe de segurança 24/7 nem separação de funções entre várias pessoas. O acesso à produção é limitado a essa única pessoa, o que também mantém mínima a superfície de ataque interna.
- SOC 2 / ISO 27001: ainda não disponível. Não alegamos SOC 2, ISO 27001 ou qualquer outra certificação que não possuímos, e não concluímos um teste de penetração de terceiros.
8. Divulgação Responsável
Se você acredita ter encontrado uma vulnerabilidade de segurança, escreva para edward@brainpercent.com com o assunto "Security".
Inclua os passos para reproduzir. Por favor, não acesse dados de outros usuários, não degrade o Serviço nem divulgue publicamente o problema antes que tenhamos uma chance razoável de corrigi-lo. Lemos todos os relatos e buscamos responder em 72 horas.