Política de Segurança da Informação

• Confidencialidade: apenas usuários autorizados acessam os dados.
• Integridade: dados não podem ser alterados sem autorização.
• Disponibilidade: mantemos o serviço acessível com alta disponibilidade.
• Privacidade desde o desenho (LGPD, art. 46).

• Hospedagem: Vercel (CDN global, edge runtime, TLS 1.2+).
• Banco de dados e auth: Supabase (PostgreSQL gerenciado).
• Pagamentos: Mercado Pago — dados de cartão e tokens nunca trafegam pelos servidores do RecebeZap.

• Autenticação via Supabase Auth (e-mail/senha e Google OAuth).
• Senhas em hash (bcrypt/argon2 conforme padrão do Supabase Auth) — nunca armazenadas em texto puro.
• Row Level Security (RLS) habilitado em todas as tabelas do banco — cada usuário só acessa seus próprios dados, garantido em nível de banco.
• Service role key usada apenas em rotas server-side, nunca exposta no client.
• Sessões com tokens JWT renováveis e revogáveis.

• Em trânsito: HTTPS/TLS 1.2+ em todas as comunicações.
• Em repouso: criptografia gerenciada pelo Supabase (AES-256 em disco).
• Senhas: hashing irreversível.
• Pix Copia-e-Cola e QR Codes são gerados localmente, sem persistir tokens sensíveis.

• Code review para mudanças sensíveis.
• Dependências auditadas (sem libs com vulnerabilidades críticas conhecidas).
• Variáveis de ambiente versionadas apenas como exemplo (.env.example).
• Webhooks (Mercado Pago) protegidos por verificação de origem.
• Endpoints de cron protegidos por Authorization: Bearer ${CRON_SECRET}.

• Logs de acesso e erro mantidos por até 12 meses.
• Monitoramento de erros via plataforma de hosting.
• Alertas em caso de comportamento anômalo.

• Backups automáticos gerenciados pelo Supabase.
• Retenção conforme plano do Supabase (até 30 dias).
• Restauração testada periodicamente.

Em caso de incidente de segurança com risco a dados pessoais, o RecebeZap se compromete a:

1. Identificar a causa e contê-la.
2. Notificar a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.
3. Comunicar publicamente as ações tomadas, quando aplicável.

Canal de comunicação de incidentes: recebezap.app@gmail.com.

• Use senhas fortes e únicas para sua conta RecebeZap.
• Não compartilhe sua senha com terceiros.
• Ative MFA (multifator) quando disponível.
• Não envie dados sensíveis (CPF completo, RG, cartão de crédito) em mensagens livres.
• Ao usar dispositivos compartilhados, faça logout ao terminar.
• Comunique imediatamente qualquer suspeita de acesso indevido.

Apesar das medidas adotadas, nenhum sistema é 100% seguro. O RecebeZap se esforça para mitigar riscos, mas não pode garantir ausência absoluta de falhas.

recebezap.app@gmail.com · Veja também a Política de Privacidade.