Skip to main content
Brainiall
EntrarComeçar

Central de Confiança

Postura de segurança, roteiro de conformidade e como protegemos seus dados.

Roadmap de conformidade

  • GDPR (UE e Reino Unido) — em conformidade via Adendo de Processamento de Dados, SCC Módulo 2 para transferências internacionais, notificação de violação em 72 horas.
  • LGPD (Brasil) — em conformidade por padrão; dados residentes no Brasil onde solicitado.
  • SOC 2 Tipo II — controles implementados; auditoria formal prevista para o Q3 2026. CAIQ v4 auto-certificação Disponível agora (CSA Cloud Controls Matrix, 17 domínios).
  • HIPAA — BAA disponível a pedido para cargas de trabalho de saúde (Enterprise tier).
  • ISO 27001 — controles alinhados; certificação prevista para 2027.

Arquitetura de Segurança

Defesa em profundidade em todo o caminho de solicitação:

  • Edge — Proxy reverso Caddy em TLS 1.2+ com renovação automática Let's Encrypt. HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin, Permissions-Policy restritiva.
  • Gateway de autenticação — Todas as chamadas de API validadas por auth-proxy:v3 contra chaves Bearer (com hash SHA-256 no Redis), limites de taxa por janela deslizante por tier e controle de acesso por produto antes de qualquer backend ser atingido.
  • Nonce CSP — Nonce criptográfico por requisição em cada script inline; 'unsafe-inline' está não funcional. Previne XSS mesmo em conteúdo dinâmico do usuário.
  • Webhooks do Marketplace — Assinatura JWT do Microsoft AD validada contra JWKS (RS256), audience e issuer verificados, com defesa contra replay-attack via operation_id e proteções de idempotência.
  • Isolamento interno — Cada contêiner de backend expõe serviços apenas via X-Internal-Key encaminhado pelo auth-proxy. Backends vinculados a 127.0.0.1 (loopback), tornando-os inacessíveis a partir de redes externas mesmo em caso de erro de configuração.
  • Resiliência de contêiner — Todos os contêineres de produção têm restart=unless-stopped + healthchecks. Contêineres não saudáveis reiniciam automaticamente em ~90 segundos.

Tratamento de dados

  • Payloads de API — processado em memória e descartado imediatamente na resposta. Não registramos, armazenamos nem treinamos com payloads de clientes. Os logs contêm apenas metadados (timestamp, endpoint, status, latência, contagem de bytes).
  • Chaves de API — armazenado como hashes SHA-256; a chave em texto puro existe apenas na sua máquina após a emissão.
  • Redação de PII — logs de erro removem e-mail, telefone, IP e outros padrões comuns de PII antes do envio ao nosso rastreador de erros (Glitchtip, auto-hospedado).
  • Criptografia — TLS em trânsito (sem texto em claro em nenhum ponto); criptografia em repouso em nível de volume na camada do host.

Subprocessadores

Atualizado em 2026-04-28. Avisamos com 30 dias de antecedência antes de adicionar novos subprocessadores.

  • Latitude.sh (Brasil/EUA) — hospedagem bare-metal. SOC 2 Tipo II.
  • Microsoft Corporation (Faturamento via Azure Marketplace). DPA / SCC.
  • Stripe (EUA) — processamento de pagamentos direto. PCI-DSS Nível 1.
  • Plausible (auto-hospedado) — analytics com foco em privacidade. Nenhum dado pessoal sai da nossa infraestrutura.

Resposta a incidentes

Se detectarmos uma violação de dados pessoais conforme definido pelo Artigo 4(12) do RGPD:

  1. Conter e avaliar o escopo em 1 hora.
  2. Notificar os Controladores afetados em até 72 horas pelo e-mail cadastrado.
  3. Fornecer natureza, categorias, contagens aproximadas, consequências prováveis e medidas de mitigação.
  4. Postar um relatório de incidente público na página de status.

Divulgação de vulnerabilidade

Aceitamos divulgação responsável. E-mail: security@brainiall.com com detalhes de prova de conceito. Confirmamos o recebimento em até 1 dia útil, com janela de divulgação coordenada de 90 dias, e creditamos os pesquisadores em nosso CHANGELOG público (com permissão).

Fora do escopo: limitação de taxa, engenharia social, ataques físicos, negação de serviço por carga.
Recompensa: Ainda não formalizado – oferecemos reconhecimento + créditos Brainiall para relatórios válidos.

Inscreva-se em atualizações de segurança

Notificamos os clientes e o público através do página de status para boletins de segurança e post-mortems. Para clientes do tier enterprise, também enviamos alertas por e-mail assinados RFC-5322 ao seu contato de segurança designado.

Documentação pronta para procurement

Para equipes de compras executando triagem inicial de risco de fornecedor, os documentos abaixo cobrem ~90% dos questionários de segurança comuns (SIG, baseados em CAIQ, RFPs personalizados).