A segurança dos seus dados é nossa maior prioridade
STLUR é construído com arquitetura security-first. Publicamos nossas práticas de segurança, roadmap de conformidade e lista de subprocessadores.
SOC 2
Tipo I em andamento
TLS 1.2+
Todo tráfego criptografado
AES-256
Criptografia em repouso
GDPR
DPA disponível
Como protegemos seus dados
Criptografia em trânsito
Todo tráfego criptografado com TLS 1.2+. HTTP redirecionado para HTTPS. HSTS aplicado.
Criptografia em repouso
Todos os dados em repouso criptografados com AES-256. Chaves gerenciadas pelo provedor.
Controle de acesso (RLS)
Segurança em nível de linha garante isolamento de tenants. Endpoints admin protegidos por MFA.
Proteção de credenciais
A varredura autenticada Enterprise usa criptografia AES-GCM 256-bit do lado do cliente com arquitetura de chave de duas camadas HKDF.
Ambiente de varredura isolado
Scanners rodam em contêineres efêmeros (AWS Lambda + Fargate) destruídos após cada varredura.
Monitoramento contínuo
Saúde da infraestrutura, status do pipeline e taxas de erro monitorados 24/7 com alertas automatizados.
Nos auditamos com STLUR — todo mês
STLUR executa os mesmos scans automatizados em sua própria infraestrutura de produção. Todo mês, stlur.app passa por um scan completo Nuclei + ZAP.
STLUR é tanto auditor quanto auditado — usamos nosso próprio produto. Descobertas críticas são remediadas em 30 dias.
SOC 2 Tipo I em andamento — Tipo II meta Q4 2026
Relatórios STLUR auxiliam na coleta de evidências SOC 2 TSC. São evidência complementar — não uma carta de opinião. Abaixo está o roadmap de certificação do STLUR.
Controles de segurança internos estabelecidos
Autoauditoria mensal automatizada com STLUR
Auditoria SOC 2 Tipo I — em andamento
Relatório SOC 2 Tipo I publicado
Meta de certificação SOC 2 Tipo II
Resposta estruturada com SLAs definidos
Detecção e triagem
Monitoramento automatizado detecta anomalias. Engenheiro de plantão avalia a gravidade.
Contenção
Isolar sistemas afetados. Revogar credenciais comprometidas. Preservar evidências forenses.
Notificação ao cliente
Clientes afetados são notificados com escopo de impacto e ações recomendadas.
Remediação e post-mortem
Análise de causa raiz, correção permanente implantada e revisão pós-incidente publicada.
Períodos de retenção claros com direito à exclusão
Resultados de varredura
13 meses
Comparação anual e análise de tendências
Relatórios PDF
13 meses
Arquivo de evidências de auditoria; criptografado em R2 (AES-256)
Backups de banco
7 dias PITR
Recuperação point-in-time para cenários de desastre
Payloads efêmeros
0 — destruídos imediatamente
Sem persistência; contêiner destruído após execução
Dados na exclusão da conta
30 dias
Período de carência; depois excluído permanentemente de todos os sistemas
Logs de auditoria
12 meses
Investigação de segurança e requisitos de conformidade
Provedores terceiros que processam dados
Minimizamos o número de subprocessadores e avaliamos cuidadosamente a postura de segurança de cada provedor. Esta lista é atualizada quando um subprocessador é adicionado ou removido.
| Provedor | Finalidade | Dados processados | Localização |
|---|---|---|---|
| Supabase | Banco de dados, autenticação e segurança em nível de linha | Dados de conta, metadados de varredura, linhas protegidas por RLS | US (AWS us-east-1) |
| Cloudflare | CDN, edge compute, armazenamento R2, DNS, proteção DDoS | Relatórios PDF (criptografia AES-256), artefatos de varredura, cache edge | Global |
| Vercel | Hospedagem frontend, rotas API serverless, ISR | Sem dados persistentes; processamento efêmero | Global (Edge) |
| AWS (ap-northeast-1) | Execução do scanner em contêineres isolados (Lambda + Fargate) | Payloads de varredura efêmeros; destruídos após execução | Asia-Pacific (Tokyo) |
| Stripe | Processamento de pagamentos, faturamento de assinaturas | Apenas tokens de pagamento; STLUR nunca armazena números de cartão | US / EU |
| Anthropic (Claude) | Geração de relatórios IA (apenas análise de texto; sem PII do cliente) | Resultados de varredura anonimizados → texto de relatório estruturado | US |
| Resend | Entrega de e-mail transacional (relatórios mensais, alertas) | Endereços de e-mail, metadados de entrega | US |
Política de divulgação responsável (VDP)
Recebemos pesquisadores de segurança para reportar vulnerabilidades. Confirmação em 3 dias úteis, avaliação inicial em 10 dias úteis, resolução em 90 dias.
Escopo
Incluído
stlur.app, app.stlur.app, API endpoints
SLA de resposta
Confirmação < 3 dias, Avaliação < 10 dias
SLA de correção
Crítico < 30 dias, Alto < 60 dias, Outros < 90 dias
Safe harbor
Pesquisadores de boa-fé não enfrentarão ações legais
DPA compatível com GDPR / CCPA / APPI disponível
Fornecemos um Acordo de Processamento de Dados (DPA) sob solicitação. Nosso DPA cobre GDPR, CCPA e APPI. Contate security@stlur.app. Resposta em 2 dias úteis.
Última atualização: 2025-05-13
Perguntas sobre nossas práticas de segurança? Contate security@stlur.com