Esta tradução é fornecida para conveniência. Em caso de discrepância entre as traduções, a versão em inglês prevalecerá e será legalmente vinculante.
A segurança é fundamental para tudo que construímos na Apiframe. Implementamos medidas de segurança abrangentes para proteger seus dados e garantir a integridade de nossa plataforma.
Nosso compromisso: Segurança de nível empresarial, criptografia end-to-end, auditorias regulares e práticas transparentes. A segurança dos seus dados é nossa prioridade.
1. Segurança de infrastructure
Cloud infrastructure
Nossa plataforma é construída sobre cloud infrastructure líder da indústria com:
- Data centers certificados SOC 2 Type II
- Redundância geográfica em múltiplas regiões
- SLA de uptime de 99.9%
- Failover automatizado e disaster recovery
- Proteção e mitigação DDoS
Segurança de rede
Protegemos nossa rede através de:
- Web Application Firewall (WAF)
- Sistemas de detecção e prevenção de intrusão
- Segmentação e isolamento de rede
- Varredura regular de vulnerabilidades
- Monitoring e alertas 24/7
2. Criptografia de dados
Em trânsito
Todos os dados transmitidos de e para nossos serviços são criptografados usando TLS 1.3 com cipher suites fortes. Aplicamos HTTPS para todas as conexões e implementamos HSTS (HTTP Strict Transport Security).
Em repouso
Dados armazenados em nossos sistemas são criptografados usando criptografia AES-256. As chaves de criptografia são gerenciadas através de um serviço de gerenciamento de chaves seguro com rotation automática.
| Tipo de dados | Método de criptografia | Gerenciamento de chaves |
|---|---|---|
| Tráfego API | TLS 1.3 | Rotation automática |
| Banco de dados | AES-256 | Gerenciado por KMS |
| Backups | AES-256 | Chaves separadas |
| API Keys | Hash Argon2id | Salt por usuário |
3. Authentication & controle de acesso
Authentication de usuário
- Requisitos de senha segura com hashing bcrypt
- Suporte para autenticação de dois fatores (2FA)
- Gerenciamento de sessão com tokens seguros
- Expiração automática de sessão
- Rate limiting para tentativas de login
Authentication de API
- API keys únicas por usuário/projeto
- Key scoping e permissões
- Assinatura de requests para operações sensíveis
- IP allowlisting (opcional)
- Rotação de keys sem downtime
Acesso interno
O acesso de funcionários aos sistemas de produção segue o princípio do menor privilégio. Todo acesso requer autenticação multi-fator e é registrado para fins de auditoria.
4. Segurança de aplicação
Desenvolvimento seguro
Nossas práticas de desenvolvimento incluem:
- Code reviews focados em segurança
- Security scanning automatizado (SAST/DAST)
- Monitoring de vulnerabilidades de dependências
- CI/CD pipelines seguros
- Treinamento regular de segurança para desenvolvedores
Proteção OWASP Top 10
Protegemos ativamente contra vulnerabilidades web comuns, incluindo ataques de injeção, autenticação quebrada, XSS, CSRF e outros riscos do OWASP Top 10.
5. Conformidade
Mantemos conformidade com padrões e regulamentos da indústria:
| Padrão | Status | Descrição |
|---|---|---|
| SOC 2 Type II | Em conformidade | Segurança, disponibilidade, integridade de processamento |
| GDPR | Em conformidade | Regulamento de proteção de dados da UE |
| CCPA | Em conformidade | Privacidade do consumidor da Califórnia |
| ISO 27001 | Em andamento | Gestão de segurança da informação |
6. Testes de segurança
Testes de penetração
Realizamos testes de penetração anuais executados por empresas de segurança terceirizadas independentes. Descobertas críticas são abordadas imediatamente, com remediação completa rastreada e verificada.
Programa Bug Bounty
Mantemos um programa de divulgação responsável para pesquisadores de segurança. Se você descobrir uma vulnerabilidade de segurança, por favor reporte para [email protected].
Divulgação responsável: Apreciamos pesquisadores de segurança que nos ajudam a manter a segurança da plataforma. Relatórios válidos podem ser elegíveis para reconhecimento e recompensas.
7. Resposta a incidentes
Nosso programa de resposta a incidentes inclui:
- Security monitoring e alertas 24/7
- Procedimentos documentados de resposta a incidentes
- Equipe dedicada de resposta a incidentes
- Notificação ao cliente dentro de 72 horas de violações confirmadas
- Análise pós-incidente e melhoria
8. Privacidade & retenção de dados
Minimização de dados
Coletamos e retemos apenas dados necessários para fornecer nossos serviços. Conteúdo gerado não é armazenado por padrão—outputs são retornados diretamente para você e não são persistidos em nossos sistemas.
Retenção de dados
- Logs de API: 90 dias
- Dados da conta: Duração da conta + 30 dias
- Conteúdo gerado: Não retido (a menos que opted in)
- Registros de cobrança: Conforme exigido por lei
Exclusão de dados
Você pode solicitar a exclusão de seus dados pessoais a qualquer momento. Após a exclusão da conta, removemos todos os dados associados em 30 dias, exceto quando a retenção for necessária por motivos legais ou de conformidade.
9. Segurança de terceiros
Examinamos cuidadosamente todos os serviços terceirizados e provedores de modelos IA. Nossa avaliação de segurança de vendors inclui:
- Questionários de segurança e revisão de documentação
- Verificação de certificação de conformidade
- Acordos de processamento de dados
- Reavaliação regular
10. Continuidade de negócios
Nossas medidas de continuidade de negócios garantem a confiabilidade do serviço:
- Backups automatizados com redundância geográfica
- Testes de disaster recovery
- Capacidades de deployment multi-região
- Objetivos RTO e RPO definidos
Contato de segurança
Para consultas relacionadas à segurança ou para reportar vulnerabilidades:
- Email: [email protected]
- Tempo de resposta: Dentro de 24 horas para relatórios de segurança
Para suporte geral, visite nossa página de contato ou entre em contato com [email protected].