Segurança

Hospedamos nossos sistemas na Amazon Web Services (AWS), em regiões que oferecem alta disponibilidade e certificações reconhecidas internacionalmente (ISO 27001, SOC 2, PCI-DSS entre outras). Utilizamos serviços gerenciados em vez de infraestrutura autoadministrada sempre que possível:

• Amazon S3 + CloudFront para a distribuição do site institucional, com conteúdo imutável e cache de borda
• Amazon ECS Fargate para a aplicação do Prevfy Core, sem acesso a instâncias EC2 administradas manualmente
• Amazon Aurora com backups automatizados e criptografia em repouso para dados estruturados
• Redes privadas (VPC) isolando banco, backend e serviços internos de acesso público

Todo tráfego para os nossos domínios é servido sob TLS 1.2+, com HSTS e certificados gerenciados. Dados sensíveis em repouso são criptografados automaticamente pelos serviços gerenciados da AWS (padrão AES-256).

Toda autenticação de usuários da plataforma Prevfy Core é delegada à Auth0, provedora de identidade reconhecida internacionalmente e com certificações SOC 2, ISO 27001 e conformidade com a LGPD. Isso nos permite:

• Não armazenar senhas de usuários em nossos sistemas
• Oferecer MFA (autenticação multifator) quando necessário
• Aplicar políticas de senha robustas, detecção de brute force e rotação de tokens
• Login federado com provedores corporativos (SSO), sob demanda

No nível da plataforma, aplicamos controle de acesso baseado em papéis e princípio do menor privilégio. Times só acessam os tenants e funcionalidades estritamente necessários ao seu trabalho.

A arquitetura do Prevfy Core é multi-tenant com identificação estrita por organização. Cada requisição à API é autorizada contra o tenant do usuário autenticado, impedindo acesso cruzado entre clientes ainda que ocorra uma falha na camada de aplicação.

Operações sensíveis geram registros estruturados de auditoria que permitem reconstruir “o que aconteceu, quando e por quem”:

• Autenticação e troca de permissões (registrado pela Auth0 e pela aplicação)
• Acessos administrativos à infraestrutura (AWS CloudTrail, logs do ECS)
• Alterações em cadastros críticos da plataforma (ativos, planos, ordens de serviço)

Os registros são retidos pelo período necessário para investigação de incidentes e cumprimento de obrigações legais.

Tratamos dados pessoais de visitantes e usuários em conformidade com a Lei nº 13.709/2018. Mantemos registros das operações de tratamento, bases legais aplicáveis, tempo de retenção e canais de exercício dos direitos do titular.

Detalhes completos estão disponíveis na nossa Política de Privacidade.

Se você identificou uma potencial vulnerabilidade de segurança no site, na plataforma ou no aplicativo mobile, por favor não divulgue publicamente antes de nos dar oportunidade de corrigir. Envie os detalhes para seguranca@prevfy.io — responderemos em até 2 dias úteis e trabalharemos com você para mitigar o problema.

Dúvidas sobre segurança ou solicitações de due diligence (ISO, SOC, questionários de fornecedores) podem ser encaminhadas para seguranca@prevfy.io.