Segurança e privacidade
Como protegemos seus dados e mantemos conformidade com a LGPD.
Proteção de dados
- Senhas: hasheadas com algoritmo seguro — nunca armazenadas em texto
- API Keys: armazenadas como hash criptográfico, exibidas apenas uma vez na criação
- Comunicação: HTTPS obrigatório em todas as conexões
- Banco de dados: gerenciado em nuvem, acesso restrito por credenciais
- Sessões: tokens assinados, cookie HTTP-only com flag Secure
Headers de segurança
O SAFETAGGY aplica os seguintes headers em todas as respostas:
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()
Cross-Origin-Resource-Policy: same-origin
Strict-Transport-Security: max-age=63072000; includeSubDomains
LGPD
O SAFETAGGY está em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018):
- Base legal documentada para cada tipo de tratamento (Art. 7)
- Encarregado de proteção de dados (DPO) designado
- Direitos do titular garantidos: acesso, correção, exclusão, portabilidade (Art. 18)
- Registro de atividades de tratamento (Art. 37)
- Plano de resposta a incidentes com notificação à ANPD (Art. 48)
- Consentimento explícito para cookies analíticos (opt-in)
Leia a Política de Privacidade completa.
Resiliência do Deep Scan
O agente de pentest IA possui múltiplas camadas de proteção:
- Cancelamento: você pode cancelar a qualquer momento — créditos são devolvidos
- Tolerância a falhas: retry automático em erros da API (429, 529, 503) com backoff exponencial
- Timeout: limite de 20 minutos com resultados parciais preservados
- Proteção de contexto: bail automático se tokens de entrada excederem 150k
- Health check: verificação do container de pentest antes de iniciar
- Scan travado: auto-correção marca como falho após 25 minutos
- Progresso persistente: atualize a página sem perder o histórico do terminal
- Comandos bloqueados: filtragem de comandos destrutivos (rm -rf, fork bomb, etc.)
- Isolamento: ferramentas executadas em container separado, não no servidor principal
Retenção de dados
| Tipo de dado | Retenção |
|---|---|
| Dados de conta | Enquanto conta ativa |
| Relatórios de varredura | Enquanto conta ativa |
| Registros de acesso (logs) | 6 meses (Marco Civil da Internet) |
| Dados de pagamento | 5 anos (obrigação fiscal) |
| Tokens de verificação | 24 horas (auto-expira) |
Exclusão de conta
Você pode excluir sua conta a qualquer momento em Configurações → Excluir Conta. Isso remove permanentemente:
- Dados pessoais (nome, e-mail, senha)
- Todas as varreduras e achados
- Deep scans e transcrições
- API keys, agendamentos, domínios verificados
- Notificações e configurações de branding
Registros de auditoria (AuditLog) são retidos por 6 meses conforme obrigação legal.
Uso responsável
O SAFETAGGY deve ser usado apenas em sites que você possui ou tem autorização expressa por escrito para testar.
Testes sem autorização são ilegais conforme Art. 154-A do Código Penal Brasileiro (Lei 12.737/2012, atualizada pela Lei 14.155/2021), com pena de reclusão de 1 a 4 anos e multa.
Leia os Termos de Uso completos.
Contato
- Geral: contato@safetaggy.com.br
- Privacidade (DPO): privacidade@safetaggy.com.br