Segurança
Última atualização: 11 de fevereiro de 2026
Segurança não é um recurso opcional — é a base de tudo que construímos. Aqui você encontra os detalhes técnicos de como protegemos seus dados e os dos seus clientes.
1. Autenticação e Sessões
- Cookies httpOnly, Secure e SameSite — tokens inacessíveis via JavaScript
- Logout global revoga todas as sessões ativas imediatamente
- Proteção contra enumeração de usuários no signup e login
2. Isolamento de Dados
- Row Level Security (RLS) em todas as tabelas — cada usuário acessa apenas seus dados
- Arquitetura multi-tenant: isolamento por accountant_id em nível de banco de dados
- Chaves de serviço restritas ao servidor — nunca expostas no navegador
3. Upload de Arquivos
- Whitelist de tipos permitidos: PDF, JPG, PNG, XLS, XLSX, CSV
- Limite de 15 MB por arquivo
- Sanitização de nomes de arquivo para prevenir injeção
- Bucket privado — acesso controlado por políticas de storage
4. Proteção Contra Ataques
- Rate limiting em login e signup para prevenir ataques de força bruta
- Proteção contra CSRF via cookies SameSite
- Escape de HTML em todos os emails para prevenir XSS
- Sanitização de inputs e escape de wildcards em buscas
5. Infraestrutura
- Supabase: banco de dados e storage hospedados na Europa
- HTTPS em todas as comunicações (criptografia em trânsito)
- Criptografia em repouso nos dados e arquivos armazenados
- Vercel: deploy com HTTPS automático e proteção DDoS
6. Auditoria e Monitoramento
- Histórico completo registra cada ação (acesso, upload, lembrete)
- Rotas de cron protegidas por token secreto
- Variáveis de ambiente gerenciadas via Vercel — nunca commitadas no código
Encontrou uma vulnerabilidade?
Se você identificou um problema de segurança, entre em contato conosco pelo nosso canal de suporte. Levamos cada relato a sério e respondemos o mais rápido possível.