Trust Center

Segurança que praticamos,
não apenas verificamos

Como uma ferramenta de segurança, temos a obrigação de liderar pelo exemplo. Aqui está tudo que fazemos para proteger seus dados.

01 / Compliance
LGPDEm conformidade

Base legal documentada, DPO designado, direitos do titular garantidos, registro de tratamento publicado.

Política de Privacidade
GDPRChecks inclusos

Verificamos conformidade com GDPR nos sites analisados. Nosso próprio tratamento de dados segue princípios equivalentes.

PCI-DSSChecks inclusos

Verificamos conformidade PCI-DSS nos sites analisados. Pagamentos processados integralmente pelo Stripe (PCI Level 1).

SOC 2Checks inclusos

Verificamos controles SOC 2 nos sites analisados. Infraestrutura em provedores com certificação SOC 2 Type II.

02 / Práticas

Nossas práticas de segurança

Políticas concretas e verificáveis aplicadas em toda nossa stack.

Criptografia

  • HTTPS obrigatório em todas as conexões (HSTS habilitado)
  • Senhas hasheadas com algoritmo seguro — nunca armazenadas em texto
  • API Keys armazenadas como hash criptográfico
  • Sessões com tokens assinados, cookie HTTP-only + Secure

Headers de segurança

  • X-Frame-Options: DENY
  • X-Content-Type-Options: nosniff
  • Strict-Transport-Security: max-age=63072000
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: camera=(), microphone=(), geolocation=()

Infraestrutura

  • Hospedagem nacional (dados no Brasil)
  • Banco de dados gerenciado com acesso restrito por credenciais
  • Deep Scan executado em container isolado do servidor principal
  • Backups diários automatizados com retenção de 90 dias
  • Monitoramento de saúde: /api/health (liveness) + /api/ready (DB + Redis)

Privacidade

  • Consentimento explícito para cookies analíticos (opt-in)
  • Direitos LGPD garantidos: acesso, correção, exclusão, portabilidade
  • Exclusão total de conta disponível em Configurações
  • Registro de atividades de tratamento publicado (Art. 37 LGPD)
  • DPO designado: privacidade@safetaggy.com.br

Retenção de dados

  • Dados de conta: enquanto conta ativa
  • Relatórios de varredura: enquanto conta ativa
  • Registros de acesso: 6 meses (Marco Civil da Internet)
  • Dados de pagamento: 5 anos (obrigação fiscal)
  • Tokens de verificação: 24 horas (auto-expira)

Uso responsável

  • Verificação de domínio via DNS obrigatória para Deep Scan
  • Consentimento de autorização exigido em cada varredura
  • Comandos destrutivos bloqueados no agente de pentest
  • Conformidade com Art. 154-A do Código Penal (Lei 12.737/2012)
03 / Subprocessadores

Subprocessadores

Serviços terceiros que processam dados em nosso nome.

ProvedorFunção
StripePagamentos
ResendE-mails transacionais
AnthropicIA (Claude)
SentryMonitoramento de erros
04 / Disclosure

Divulgação responsável

Encontrou uma vulnerabilidade no SAFETAGGY? Valorizamos pesquisadores de seguran ça e pedimos que nos reporte de forma responsável.

security@safetaggy.com.br/.well-known/security.txt

Dúvidas sobre segurança ou privacidade?

contato@safetaggy.com.brprivacidade@safetaggy.com.br (DPO)