A segurança dos seus dados é nossa maior prioridade
SPHIOR é construído com arquitetura security-first. Publicamos nossas práticas de segurança, roadmap de conformidade e lista de subprocessadores.
SOC 2
Tipo I em andamento
TLS 1.2+
Todo tráfego criptografado
AES-256
Criptografia em repouso
GDPR
DPA disponível
Como protegemos seus dados
Criptografia em trânsito
Todo tráfego criptografado com TLS 1.2+. HTTP redirecionado para HTTPS. HSTS aplicado.
Criptografia em repouso
Todos os dados em repouso criptografados com AES-256. Chaves gerenciadas pelo provedor.
Controle de acesso (RLS)
Segurança em nível de linha garante isolamento de tenants. Endpoints admin protegidos por MFA.
Proteção de credenciais
A varredura autenticada Enterprise usa criptografia AES-GCM 256-bit do lado do cliente com arquitetura de chave de duas camadas HKDF.
Ambiente de varredura isolado
Scanners rodam em contêineres efêmeros (AWS Lambda + Fargate) destruídos após cada varredura.
Monitoramento contínuo
Saúde da infraestrutura, status do pipeline e taxas de erro monitorados 24/7 com alertas automatizados.
Nos auditamos com SPHIOR — todo mês
SPHIOR executa os mesmos scans automatizados em sua própria infraestrutura de produção. Todo mês, sphior.app passa por uma avaliação completa de vulnerabilidades externas e autenticada.
SPHIOR é tanto auditor quanto auditado — usamos nosso próprio produto. Descobertas críticas são remediadas em 30 dias.
Resposta estruturada com SLAs definidos
Detecção e triagem
Monitoramento automatizado detecta anomalias. Engenheiro de plantão avalia a gravidade.
Contenção
Isolar sistemas afetados. Revogar credenciais comprometidas. Preservar evidências forenses.
Notificação ao cliente
Clientes afetados são notificados com escopo de impacto e ações recomendadas.
Remediação e post-mortem
Análise de causa raiz, correção permanente implantada e revisão pós-incidente publicada.
Períodos de retenção claros com direito à exclusão
| Tipo de dado | Retenção | Objetivo |
|---|---|---|
| Resultados de varredura | 13 meses | Comparação anual e análise de tendências |
| Relatórios PDF | 13 meses | Arquivo de evidências; criptografia AES-256 |
| Backups de banco | 7 dias PITR | Recuperação point-in-time |
| Payloads efêmeros | 0 — imediato | Sem persistência; destruídos após execução |
| Dados na exclusão | 30 dias | Período de carência; depois excluído |
| Logs de auditoria | 12 meses | Investigação e conformidade |
Provedores terceiros que processam dados
Minimizamos o número de subprocessadores e avaliamos cuidadosamente a postura de segurança de cada provedor. Esta lista é atualizada quando um subprocessador é adicionado ou removido.
| Provedor | Finalidade | Dados processados | Localização |
|---|---|---|---|
| Database Provider | Armazenamento de dados, autenticação e controle de acesso | Dados de conta, metadados de varredura, registros com controle de acesso | US |
| CDN & Edge Provider | Entrega de conteúdo, edge compute, armazenamento criptografado, proteção DDoS | Relatórios PDF (criptografia AES-256), artefatos de varredura | Global |
| Application Host | Hospedagem de aplicação e processamento de requisições | Sem dados persistentes; processamento efêmero | Global (Edge) |
| Cloud Infrastructure | Execução do scanner em contêineres isolados e efêmeros | Payloads de varredura efêmeros; destruídos após execução | Asia-Pacific (Tokyo) |
| Payment Processor | Processamento de pagamentos, faturamento de assinaturas | Apenas tokens de pagamento; SPHIOR nunca armazena números de cartão | US / EU |
| AI Provider | Geração de relatórios IA (apenas análise de texto; sem PII do cliente) | Resultados de varredura anonimizados → texto de relatório estruturado | US |
| Email Delivery | Entrega de e-mail transacional (relatórios mensais, alertas) | Endereços de e-mail, metadados de entrega | US |
Política de divulgação responsável (VDP)
Recebemos pesquisadores de segurança para reportar vulnerabilidades. Confirmação em 3 dias úteis, avaliação inicial em 10 dias úteis, resolução em 90 dias.
Escopo
Incluído
sphior.app, app.sphior.app, API endpoints
SLA de resposta
Confirmação < 3 dias, Avaliação < 10 dias
SLA de correção
Crítico < 30 dias, Alto < 60 dias, Outros < 90 dias
Safe harbor
Pesquisadores de boa-fé não enfrentarão ações legais
Gere seu DPA automaticamente
Nosso sistema gera automaticamente um DPA em conformidade com GDPR, CCPA e APPI. Preencha o formulário e seu PDF assinado estará pronto em breve.
Última atualização: 2025-05-13
Perguntas sobre nossas práticas de segurança? Contate security@sphior.com