1. Objetivo
Esta política estabelece as diretrizes, responsabilidades e controles de segurança da informação adotados pela Vello Suite para proteger a confidencialidade, integridade e disponibilidade dos dados sob sua custódia — incluindo dados de clientes (tenants), seus consumidores finais e da própria organização.
O documento é aplicável a todos os colaboradores, prestadores de serviço e sistemas que compõem a infraestrutura da Vello Suite.
2. Escopo
Esta política abrange:
- Toda a infraestrutura de produção (banco de dados, servidores de aplicação, edge functions, CDN)
- Ambientes de desenvolvimento e staging
- Endpoints corporativos (estações de trabalho e dispositivos móveis)
- Serviços de terceiros integrados à plataforma
- Dados pessoais, financeiros e comerciais processados pela plataforma
3. Governança de Segurança
A segurança da informação é responsabilidade de toda a organização, com papéis definidos:
| Papel | Responsabilidade |
|---|---|
| DPO / Encarregado | Supervisão de conformidade LGPD, ponto de contato com titulares e ANPD |
| Líder de Engenharia | Implementação de controles técnicos, revisão de código, gestão de vulnerabilidades |
| Todos os colaboradores | Cumprimento desta política, reporte de incidentes, uso seguro de credenciais |
A política é revisada anualmente ou sempre que houver mudança significativa na infraestrutura, regulamentação ou após incidentes de segurança.
4. Arquitetura e Infraestrutura
4.1. Localização dos dados
Todos os dados de produção são armazenados na região sa-east-1 (São Paulo, Brasil) da AWS, via Supabase. Isso garante conformidade com requisitos de residência de dados da LGPD.
4.2. Componentes principais
- Banco de dados: PostgreSQL gerenciado (Supabase) com backups automáticos diários e point-in-time recovery
- Autenticação: Supabase Auth com JWT, refresh token rotation e session management
- Edge Functions: Deno runtime isolado por requisição (Supabase Edge)
- Frontend: Vercel CDN com deploy imutável e rollback instantâneo
- Pagamentos: Stripe (PCI DSS Level 1) — credenciais nunca tocam nossos servidores
4.3. Segregação de rede e ambientes
- Ambientes de produção, staging e desenvolvimento são completamente isolados
- Banco de dados de produção não é acessível a partir de redes públicas — acesso exclusivo via connection pooler com TLS obrigatório
- Edge Functions executam em runtime isolado (V8 isolates) sem acesso ao filesystem do host
- Comunicação entre serviços internos exclusivamente via HTTPS/TLS 1.3
- Firewall de aplicação (WAF) ativo na camada CDN com regras contra DDoS, SQL injection e XSS
5. Proteção contra Ameaças
5.1. Proteção de rede
- WAF (Web Application Firewall) com regras atualizadas automaticamente
- Proteção DDoS na camada de CDN (Vercel / Cloudflare)
- Rate limiting por IP e por usuário em todas as APIs
- CORS restritivo — apenas domínios autorizados, nunca wildcard
- Headers de segurança em todas as respostas (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
5.2. Proteção de endpoints (baseline de segurança)
Todos os dispositivos corporativos devem atender ao baseline mínimo:
- Antivírus/EDR: Solução de endpoint protection ativa e atualizada em todos os terminais
- Sistema operacional: Versão suportada com atualizações automáticas habilitadas
- Disco: Criptografia full-disk obrigatória (FileVault/BitLocker)
- Bloqueio de tela: Automático após 5 minutos de inatividade
- Senha: Mínimo 12 caracteres com complexidade
- MFA: Obrigatório em todos os serviços (Supabase, Vercel, GitHub, email corporativo)
- Firewall local: Habilitado com regras restritivas
5.3. Segurança de aplicação
- Row Level Security (RLS) ativo em 100% das tabelas — isolamento de dados entre tenants
- Validação de input em todas as camadas (frontend + backend)
- Sanitização contra XSS e SQL injection
- Dependências auditadas automaticamente (npm audit, Dependabot)
- Code review obrigatório antes de merge em produção
6. Monitoramento e Auditoria
- Logs de auditoria para todas as operações sensíveis (login, alteração de permissões, operações financeiras, criação/exclusão de recursos)
- Logs retidos por 90 dias em ambiente seguro com acesso restrito
- Alertas automáticos para tentativas de acesso não autorizado, rate limit excedido e erros de autenticação em massa
- Monitoramento de uptime 24/7 com alertas em tempo real
Dados nunca logados: senhas, tokens de sessão, dados de cartão de crédito, CPF/RG ou qualquer dado pessoal sensível.
7. Gestão de Terceiros
Todos os provedores de serviço que processam dados são avaliados quanto a:
- Certificações de segurança (SOC 2, ISO 27001, PCI DSS quando aplicável)
- Localização dos dados e conformidade com LGPD
- Práticas de criptografia e controle de acesso
- Histórico de incidentes e transparência
| Provedor | Função | Certificações |
|---|---|---|
| Supabase (AWS) | Banco de dados, Auth, Storage | SOC 2 Type II, ISO 27001 |
| Vercel | Hosting, CDN | SOC 2 Type II |
| Stripe | Processamento de pagamentos | PCI DSS Level 1 |
8. Continuidade de Negócio
- Backups automáticos diários com retenção de 30 dias
- Point-in-time recovery disponível para as últimas 7 dias
- Infraestrutura com redundância geográfica na camada de CDN
- Deploy imutável com rollback instantâneo em caso de falha
- RTO (Recovery Time Objective): 4 horas
- RPO (Recovery Point Objective): 24 horas
9. Conformidade Regulatória
- LGPD (Lei 13.709/2018): Conformidade total — DPO designado, base legal documentada, direitos dos titulares implementados
- Marco Civil da Internet (Lei 12.965/2014): Retenção de logs conforme exigido
- PCI DSS: Delegado ao Stripe — dados de cartão nunca transitam por nossos servidores
Nenhuma violação de segurança ou vazamento de dados foi registrado nos últimos 3 anos de operação.
10. Contato
Para questões relacionadas a esta política:
- DPO / Encarregado: privacidade@vellosuite.com.br
- Reporte de vulnerabilidades: seguranca@vellosuite.com.br
Vello Suite — CNPJ 66.427.801/0001-46
Rua Vereador Alexandre Antonello, 323 — Dois Vizinhos/PR, Brasil