Segurança

Infraestrutura, práticas e controles que protegem seus dados.

Segurança não é feature. É fundação. Fluua é construída sobre infraestrutura enterprise-grade desde o dia 1.

Não prometemos "nível bancário" ou marketing vazio. Aqui estão os fatos técnicos.

Infraestrutura

Supabase (Banco de Dados)

  • PostgreSQL 15 gerenciado
  • Replicação automática multi-AZ
  • Backups diários com retenção 30 dias
  • Point-in-time recovery disponível
  • Criptografia em repouso (AES-256)

Vercel (Frontend)

  • Edge network global com DDoS protection
  • TLS 1.3 obrigatório
  • HSTS preload habilitado
  • Deploy imutável com rollback instantâneo

Render (Backend APIs)

  • Containers isolados por cliente
  • Auto-scaling baseado em carga
  • Health checks automáticos
  • Zero-downtime deploys

Criptografia

Em Trânsito

  • TLS 1.3 (mínimo TLS 1.2)
  • HTTPS obrigatório em todas as conexões
  • Certificados SSL renovados automaticamente
  • Perfect Forward Secrecy habilitado

Em Repouso

  • AES-256 para dados no banco
  • Senhas com bcrypt (cost factor 12)
  • Tokens de API com hashing SHA-256
  • Backups criptografados end-to-end

Autenticação & Acesso

  • Autenticação multi-fator (MFA): disponível via TOTP
  • SSO: SAML 2.0 (plano Scale+)
  • Sessões: expiram após 7 dias de inatividade
  • Senhas: mínimo 12 caracteres, com validação de força
  • Rate limiting: proteção contra brute-force
  • RBAC: controle granular de permissões por papel

Monitoramento & Logs

  • Logs de auditoria: todas as ações críticas registradas
  • Monitoramento 24/7: detecção de anomalias em tempo real
  • Alertas automáticos: tentativas de login suspeitas, mudanças de permissão
  • Retenção: logs mantidos por 6 meses
  • SIEM: integração com ferramentas de análise de segurança

Backups & Recuperação

  • Frequência: backups automáticos a cada 24h
  • Retenção: 30 dias
  • Teste: recovery testado mensalmente
  • RTO: 4 horas (Recovery Time Objective)
  • RPO: 24 horas (Recovery Point Objective)
  • Geo-redundância: replicação cross-region

Compliance & Certificações

Atuais

  • LGPD (Lei Geral de Proteção de Dados) - Brasil
  • GDPR compliance via provedores

Roadmap (2026)

  • SOC 2 Type II
  • ISO 27001

Não prometemos certificações que não temos. Quando tivermos, atualizamos esta página.

Resposta a Incidentes

Mantemos plano de resposta a incidentes documentado:

  • Detecção: alertas automáticos + monitoramento ativo
  • Contenção: isolamento imediato de sistemas afetados
  • Comunicação: notificação em até 72h (LGPD) para incidentes de dados
  • Remediação: correção da vulnerabilidade
  • Post-mortem: análise de causa raiz e melhorias

Reportar vulnerabilidade: daniel@fluua.co

Resposta em até 24h. Responsible disclosure apreciado.

Desenvolvimento Seguro

  • Code review: obrigatório antes de merge
  • Dependency scanning: Dependabot automático
  • SAST: análise estática de código
  • Secrets management: variáveis em vault, nunca no código
  • Least privilege: acesso mínimo necessário

Uptime & SLA

  • Target uptime: 99.9% (plano Scale+)
  • Status page: transparente em tempo real
  • Manutenções: agendadas fora horário comercial, com 7 dias de aviso
  • Degradação: modo read-only em caso de falha parcial

Modelo de Responsabilidade Compartilhada

Fluua é responsável por:

  • Segurança da infraestrutura
  • Criptografia de dados
  • Patches e atualizações
  • Monitoramento e resposta

Você é responsável por:

  • Senhas fortes e únicas
  • Habilitar MFA
  • Controle de acesso dos seus usuários
  • Proteção das suas credenciais
  • Dados que você insere na plataforma

Contato

Dúvidas sobre segurança ou quer reportar vulnerabilidade?

Email: daniel@fluua.co

Respondemos questões de segurança em até 24h.