Segurança da Plataforma

Em Trânsito

• TLS 1.3: Todas as comunicações são criptografadas
• HSTS: Strict Transport Security com 2 anos de max-age
• Certificados: Let's Encrypt com renovação automática

Em Repouso

• Banco de Dados: Criptografia de volume
• Dados Sensiveis: Criptografia AES para PII
• Senhas: Hash seguro com salt (bcrypt)
• API Keys: Hash criptográfico com comparação em tempo constante
• Backups: Criptografados antes do armazenamento

Autenticação de Usuários

• JWT: JSON Web Tokens armazenados em cookies httpOnly
• Expiração: Access token 15 min, Refresh token 7 dias
• Google OAuth: Integração segura com validação JWKS
• Política de Senhas: Mínimo 8 caracteres, maiúscula, minúscula e número

Autenticação de Administradores

• 2FA Obrigatório: TOTP (Google Authenticator, Authy)
• IP Allowlist: Acesso restrito a IPs autorizados
• Step-up Auth: Reautenticação para ações críticas
• Proteção Brute-force: Bloqueio após 5 tentativas

Proteção CSRF

• Header X-Requested-With: XMLHttpRequest obrigatório
• Cookies com SameSite=Lax
• Validação em todas as requisições mutantes

Cada loja/cliente tem seus dados completamente isolados:

• merchant_id: Toda query ao banco obrigatoriamente filtra por merchant_id
• API Keys: Cada merchant tem suas próprias chaves (hash SHA-256)
• Storage: Objetos separados por tenant no MinIO/S3
• Rate Limits: Isolados por merchant e por API key

Proteção contra abuso e ataques de negação de serviço:

• Autenticação: Limites rigorosos por IP para prevenir brute-force
• API: Limites por usuário e por plano
• Geral: Sliding window com fail-closed em produção

Validação rigorosa de uploads:

• Magic Bytes: Verificação do header do arquivo (não apenas extensão)
• Tipos Permitidos: JPEG, PNG, WebP apenas
• Tamanho Máximo: 10MB por imagem
• Re-encoding: Pillow re-encode para prevenir exploits
• Sanitização: Remoção de metadados sensíveis (EXIF)

Proteção contra prompt injection e uso indevido:

• Whitelist de Cores: Apenas cores previamente aprovadas
• Palavras Proibidas: Filtro de conteudo impróprio
• Validação: Sanitização rigorosa em todos os inputs de IA
• SSRF Protection: Bloqueio de acesso a rede interna

Operações Atômicas

Débito de créditos é atômico para prevenir race conditions:

Webhooks Seguros

• HMAC-SHA256: Assinatura obrigatoria em webhooks
• Mercado Pago: Validação de assinatura em todos os eventos
• Retry: Circuit breaker com timeout de 60s

• Logs Estruturados: JSON formatado para analise
• Request ID: Rastreamento de requisições end-to-end
• PII Masking: E-mails, tokens e senhas NUNCA são logados
• Grafana + Loki: Centralizado para alertas
• Audit Trail: Registro de ações administrativas

Alertas

• Tentativas de autenticação falhas
• Acessos de admin de IPs não autorizados
• Rate limit violations
• Erros de infraestrutura

Arquitetura

• Containerização: Serviços isolados em containers
• Proxy reverso: Configuração hardened
• Cache distribuído: Para sessões e rate limiting
• Filas: Processamento assíncrono de tarefas
• Storage: Armazenamento seguro de objetos

Rede

• CORS: Origins explícitas (sem wildcard em produção)
• Firewall: Apenas portas necessarias expostas
• VPN: Acesso administrativo restrito

Em caso de incidente de segurança:

1. Isolamento imediato do sistema afetado
2. Investigação e identificação da causa raiz
3. Notificação aos usuários afetados em até 72h (conforme LGPD)
4. Aplicação de correções e patches
5. Relatorio pos-incidente e melhorias

Se descobrir uma vulnerabilidade de segurança, por favor reporte de forma responsável: