Segurança · Smart Trigo
Legal

Segurança

Confiança é parte do produto. Conheça os controles, certificações e práticas de segurança que protegem seus dados e os dos seus clientes.

Criptografia ponta a ponta

Todos os dados em trânsito são criptografados com TLS 1.3, e dados sensíveis em repouso usam AES-256.

Infraestrutura cloud segura

Servidores em provedores certificados (AWS, Google Cloud) com SOC 2, ISO 27001 e padrões de segurança internacionais.

Conformidade com a LGPD

Operamos em total alinhamento com a Lei Geral de Proteção de Dados, com encarregado dedicado e processos documentados.

Nossa filosofia de segurança

Lojas de móveis lidam com dados sensíveis todos os dias: contatos de clientes, histórico de compras, conversas pessoais, dados financeiros. No Smart Trigo, segurança não é uma camada adicional — é a base sobre a qual construímos todo o produto.

Aplicamos o princípio de defesa em profundidade: múltiplas camadas de proteção independentes, de forma que mesmo que uma falhe, as outras continuam protegendo seus dados.

1. Proteção de dados em trânsito

Toda comunicação entre seu navegador, nossos servidores, integrações e APIs externas é criptografada usando os protocolos mais modernos:

  • TLS 1.3 em todas as conexões web
  • Certificados SSL renovados automaticamente
  • HSTS (HTTP Strict Transport Security) para forçar HTTPS
  • API oficial do WhatsApp Business com autenticação criptografada via Meta

2. Proteção de dados em repouso

Dados armazenados em nossas bases são protegidos com:

  • Criptografia AES-256 para informações sensíveis (dados de pagamento, tokens, credenciais)
  • Bases de dados isoladas por cliente, com controles de acesso granulares
  • Backups criptografados com retenção de até 30 dias e testes regulares de recuperação
  • Eliminação segura de dados após o período de retenção, com sobrescrita irreversível

3. Infraestrutura e disponibilidade

Operamos sobre provedores cloud líderes globais, que mantêm certificações como:

  • SOC 2 Type II (controles de segurança operacional auditados)
  • ISO 27001 (sistema de gestão de segurança da informação)
  • ISO 27017 e 27018 (controles cloud e proteção de dados pessoais)

Nossa arquitetura inclui:

  • Servidores distribuídos em múltiplas zonas de disponibilidade
  • Balanceadores de carga e redundância automática
  • Proteção contra DDoS em camada de rede
  • Monitoramento 24/7 com alertas automatizados
  • SLA de disponibilidade alvo de 99,5%

4. Controle de acesso

Aplicamos o princípio do menor privilégio em todos os níveis:

  • Autenticação multifator (MFA) obrigatória para nossa equipe interna
  • Acesso baseado em função (RBAC) nos sistemas internos e na Plataforma do cliente
  • Logs de auditoria de todas as ações administrativas
  • Sessões com expiração automática e detecção de atividade suspeita
  • Senhas armazenadas com bcrypt (nunca em texto plano)

5. Segurança em desenvolvimento

Aplicamos práticas de DevSecOps em todo o ciclo de desenvolvimento:

  • Revisão de código obrigatória antes de qualquer deploy
  • Análise estática de segurança (SAST) automática
  • Verificação de vulnerabilidades conhecidas em dependências
  • Testes de penetração periódicos por equipes especializadas
  • Ambientes de desenvolvimento, homologação e produção totalmente segregados

6. Resposta a incidentes

Mesmo com todas as camadas de proteção, mantemos um processo formalizado de resposta a incidentes de segurança:

  • Detecção precoce: monitoramento contínuo e alertas automatizados
  • Contenção rápida: equipe de plantão para isolar e mitigar impactos
  • Comunicação transparente: clientes afetados são notificados em até 72h, conforme exige a LGPD
  • Análise pós-incidente: cada evento gera melhorias estruturais documentadas
  • Comunicação à ANPD em casos de incidentes que envolvam dados pessoais e gerem risco aos titulares

7. Privacidade por design

Aplicamos o conceito de "Privacy by Design" em todas as funcionalidades novas:

  • Coletamos apenas os dados estritamente necessários para a funcionalidade
  • Permitimos que o cliente exclua ou exporte seus dados a qualquer momento
  • Anonimizamos informações sempre que possível para análises e melhoria do produto
  • Limitamos o acesso interno aos dados ao mínimo necessário para suporte e desenvolvimento

8. Inteligência Artificial e segurança

Nossas funcionalidades de IA são tratadas com cuidado especial:

  • Dados enviados aos modelos de linguagem (LLMs) seguem contratos rigorosos de proteção
  • O cliente pode desativar funcionalidades específicas de IA sem perder o acesso ao restante do produto
  • Dados sensíveis (CPF, cartão de crédito, etc.) são detectados e mascarados antes do envio aos modelos
  • Treinamentos de modelos próprios usam apenas dados anonimizados e agregados

9. Backups e recuperação de desastres

Manter seus dados disponíveis e íntegros é prioridade. Para isso:

  • Backups automáticos diários, com armazenamento em região geográfica diferente
  • Testes mensais de restauração para validar a integridade dos backups
  • Plano de continuidade de negócios documentado e revisado periodicamente
  • RTO (tempo de recuperação) e RPO (perda máxima de dados) monitorados continuamente

10. Reportar vulnerabilidades

Acreditamos que segurança é uma responsabilidade compartilhada. Se você é pesquisador de segurança e identificou alguma vulnerabilidade no Smart Trigo, queremos ouvir você.

Entre em contato pelo nosso WhatsApp informando "Vulnerabilidade de segurança" — sua mensagem será encaminhada diretamente à equipe técnica. Pedimos divulgação responsável: nos dê tempo de corrigir antes de publicar qualquer informação.

Contatos de segurança:

Compromisso permanente: Segurança não é um projeto com data de fim. É um trabalho contínuo de evolução, auditoria e melhoria. Esta página é atualizada sempre que adotamos novos controles ou padrões.