Segurança & Compliance
Construído para atender os requisitos das organizações mais exigentes.
LGPD CompliantAtivo
SOC 2 Type IQ3 2026
SOC 2 Type IIQ4 2026
PCAOB AS 1215Ativo
mTLS SEFAZAtivo
Multi-tenant RLSAtivo
ISO 27001Q4 2026
LGPD — Lei Geral de Proteção de Dados
DPA (Data Processing Agreement) disponível para assinatura imediata
Soft-delete implementado para direito de exclusão (Art. 18 LGPD)
DPO (Encarregado) designado — dpo@audit.me
Registro de atividades de tratamento (ROPA) disponível sob pedido
Nenhum dado pessoal trafega fora do ambiente do tenant
Consentimento granular por categoria de dado
Retenção de dados: anomalias 7 anos (CFC), transações 5 anos (LGPD Art. 16)
Titular pode exercer direitos Art. 18 via formulário em /lgpd
SOC 2 Type II — Roadmap
SOC 2 Type I — ETA: julho 2026 (Q3)
SOC 2 Type II — ETA: Q4 2026
Trust Service Criteria: Security, Availability, Confidentiality
Audit trail hash-chained imutável desde o dia 1 (SHA-256)
Penetration testing anual por terceiros — último: abril 2026
Relatório de evidências disponível para clientes Enterprise
Vulnerability disclosure policy: resposta em 24h
Bug bounty program ativo — security@audit.me
Workpapers & Retenção PCAOB
PCAOB AS 1215: workpapers retidos por 7 anos
Hash-chain SHA-256 garante imutabilidade — qualquer alteração detectada
Assinatura digital do auditor responsável (ICP-Brasil A1/A3)
Timestamp RFC 3161 em cada workpaper gerado
Exportação em formato XBRL, PDF e JSON auditável
Backup geográfico redundante (3 regiões AWS)
ISA 240: 47 detectores de Red Flags mapeados
COSO 2013: 17 princípios rastreados por componente
Segurança de Infraestrutura
TLS 1.3 em trânsito — HSTS com preload (max-age 1 ano)
AES-256 em repouso (Supabase Vault + envelope encryption)
Certificado A1 mTLS para SEFAZ e eCAC
Zero credentials em plain text — Vault exclusivo + rotação 90 dias
Imagens Docker assinadas e scanneadas (Trivy, Snyk)
SBOM (Software Bill of Materials) gerado a cada release
Secrets scanning em CI/CD — nenhum secret no repositório
WAF + rate limiting em todos os endpoints públicos
Multi-tenant & Isolamento
Row-Level Security (RLS) auditada por tenant_id — 100% das tabelas
Zero vazamentos cross-tenant — garantido por arquitetura, não configuração
Testes automatizados de boundary cross-tenant em cada CI
Cada tenant tem chave de criptografia individual (KMS)
Service accounts com least-privilege (princípio do menor privilégio)
Logs segregados por tenant — sem mesclagem de dados
Pentest cross-tenant realizado por Squad 17 (abril 2026) — zero vulnerabilidades
Dados de diferentes tenants nunca acessíveis mutuamente no Master Brain
Resposta a Incidentes
Disclosure de incidentes em até 24h para clientes afetados
Classificação de severidade: P0 (crítico 1h) → P3 (baixo 72h)
Runbooks documentados para 12 cenários de incidente
Notificação regulatória: ANPD em até 72h se necessário (LGPD Art. 48)
Post-mortem público para incidentes P0/P1
Contato de emergência: security@audit.me (monitorado 24/7)
SLA de resposta: 1h para clientes Enterprise, 4h Professional
Testes de Penetração
Pentest externo anual por firma independente
Pentest cross-tenant interno: Squad 17 (abril 2026)
Escopo: OWASP Top 10, SANS Top 25, CWE/CVE relevantes
DAST (Dynamic Analysis) em cada release maior
SAST (Static Analysis) em CI/CD — 100% cobertura
Relatório sumário disponível para Enterprise sob NDA
Termos de Serviço & Políticas
Termos de Serviço (v1.0 — 2026-04-28)Em preparação
DPA — Data Processing AgreementEm preparação
Acceptable Use PolicyEm preparação
Service Level Agreement (SLA)Em preparação
Dúvidas sobre segurança ou compliance? security@audit.me ou falar com nosso time de segurança.