Segurança

Segurança

Como o Invisiboll protege a sua plataforma, os seus dados e os dados de seus clientes finais. Práticas, controles e canais de divulgação responsável.

Última atualizaçãoVersão2026-04-15

A segurança da Plataforma é tratada como requisito de produto, não como custo extra. Esta página resume nossas práticas e canais para reportar vulnerabilidades.

1. Visão geral

Operamos com princípios de menor privilégio, defesa em profundidade e auditabilidade contínua. Cada camada da Plataforma é projetada para falhar de forma segura e para minimizar a superfície de ataque exposta a Clientes e a terceiros.

2. Controles técnicos

  • Criptografia TLS 1.2+ em trânsito; criptografia em repouso para todos os dados persistidos.
  • Segregação lógica por workspace e por tenant.
  • Gestão de segredos por meio de cofre dedicado, com rotação periódica.
  • WAF e proteção contra DDoS na borda.
  • Backups automatizados, testados periodicamente para garantir restauração efetiva.
  • Hardening de imagens, dependências auditadas (SCA), análise estática (SAST), análise dinâmica (DAST) e revisão de pull requests obrigatória.
  • Política de retenção mínima de logs operacionais para fins de detecção e perícia.

3. Controles organizacionais

  • Controle de acesso baseado em função (RBAC) com revisão trimestral.
  • Treinamento de segurança obrigatório para todo pessoal com acesso a dados.
  • Onboarding e offboarding documentados, com revogação imediata de credenciais.
  • Política de senhas fortes e MFA obrigatório para acesso a sistemas críticos.
  • Contratos com terceiros e subprocessadores incluem cláusulas de segurança e confidencialidade.

4. Monitoramento e resposta

Operamos pipeline de logging centralizado e correlação de eventos com alertas em tempo real para anomalias. Nosso plano de resposta a incidentes prevê notificação ao Cliente em até 72 horas, conforme exigido pela LGPD/GDPR, e cooperação com autoridades quando legalmente determinado.

5. Divulgação responsável

Encorajamos pesquisadores de segurança a reportar vulnerabilidades por meio do nosso canal dedicado. Comprometemo-nos a:

  • Confirmar o recebimento em até 2 dias úteis.
  • Fornecer um diagnóstico inicial em até 7 dias.
  • Manter o pesquisador informado durante a remediação.
  • Reconhecer publicamente a contribuição quando autorizado pelo pesquisador.

Não tomaremos ações legais contra pesquisadores que ajam de boa-fé, sigam estas diretrizes, respeitem a privacidade dos dados de Clientes e não exfiltrem nem destruam dados.

6. Contato

Reporte vulnerabilidades para[email protected]. Para uso de chave PGP, solicite por e-mail.