Security Overview

Segurança & Auditoria

Proteger seus dados e documentos é a base do nosso protocolo. Conheça as práticas de segurança, infraestrutura e conformidade que sustentam o Veryfinner.

Infraestrutura Cloud

Azure Cloud
  • Microsoft Azure - região Brazil South (São Paulo) para baixa latência e conformidade de residência de dados
  • Azure Container Apps com auto-scaling, health checks e zero-downtime deployments
  • Azure Database for PostgreSQL gerenciado com backups automáticos, alta disponibilidade e failover automático

Criptografia

End-to-End
  • TLS 1.3 para toda comunicação em trânsito - APIs, webhooks e integração entre serviços
  • AES-256 para criptografia de dados em repouso em todos os bancos de dados e armazenamento
  • SHA-256 para hashing de documentos - cada arquivo recebe um hash único verificável a qualquer momento

Autenticação

OAuth2 + JWT
  • OAuth 2.0 Authorization Server dedicado com suporte a Authorization Code e Client Credentials
  • JWT tokens assinados com chaves RSA rotacionadas, com claims customizados por organização
  • API Key para integradores com escopos e limites configurados individualmente

Rate Limiting

Proteção contra abuso
  • Rate limiting por IP - 60 requisições por minuto para endpoints públicos
  • Rate limiting por API Key - limites customizados por integrador com burst control
  • Respostas com headers X-RateLimit-* para monitoramento pelo cliente

Blockchain

Polygon PoS
  • Polygon PoS (Proof of Stake) para registro imutável de selos digitais com baixo custo e alta velocidade
  • Merkle Tree para verificação eficiente de lotes - prove a integridade de qualquer documento individual dentro de um lote
  • Cada selo gera um transaction hash rastreável publicamente na rede Polygon

Integridade Documental

Hash Verification
  • Hash SHA-256 do arquivo original armazenado no momento da certificação
  • Verificação a cada acesso - o hash do arquivo é recalculado e comparado com o original
  • Qualquer alteração no documento, por menor que seja, invalida o selo e gera alerta imediato

Isolamento de Dados

Multi-tenant
  • Database por serviço - cada microsserviço possui seu próprio schema isolado
  • Segmentação de rede - comunicação entre serviços via rede interna sem exposição pública
  • Dados de cada organização são acessíveis exclusivamente por usuários autorizados daquela organização

Conformidade LGPD

Lei Geral de Proteção de Dados
  • Processamento com base legal - dados pessoais tratados exclusivamente para a finalidade de validação
  • Logs de auditoria completos para todas as operações - quem acessou, quando e o que foi feito
  • Minimização de dados - apenas informações estritamente necessárias são processadas e retidas

Medidas Adicionais

Testes de Penetração

Auditorias anuais conduzidas por terceiros especializados em segurança ofensiva, com relatório completo e correção de achados.

Resposta a Incidentes

Notificação em até 24 horas em caso de incidente de segurança, com equipe dedicada para investigação e remediação.

Logs de Auditoria

Registro imutável de todas as operações com estado anterior e posterior (JSONB), permitindo rastreabilidade completa.

Resumo de Segurança

TLS 1.3
Em trânsito
AES-256
Em repouso
SHA-256
Hashing
Polygon
Blockchain

Reporte de Vulnerabilidades

Se você identificou uma vulnerabilidade de segurança ou tem dúvidas sobre nossas práticas, entre em contato com nossa equipe dedicada.

security@finner.com.br