Segurança da Informação

Última atualização: 11/12/2025

Este documento consolida as diretrizes internas de Segurança da Informação da Placefy, incluindo nossa Política de Acesso, Política de Classificação de Dados, Política de Desenvolvimento Seguro e Política de Gestão de Vulnerabilidades. A Placefy adota práticas rigorosas de segurança para proteger seus dados e garantir a integridade da plataforma.

1. Controles de Acesso

A Placefy implementa controles de acesso robustos para garantir que apenas usuários autorizados possam acessar recursos específicos da plataforma.

Verificação de E-mail Obrigatória: Todos os usuários devem confirmar seu endereço de e-mail antes de obter acesso completo à plataforma.
Controle de Acesso Baseado em Funções (RBAC): Sistema com perfis de Administrador e Usuário Comum, cada um com permissões específicas conforme suas responsabilidades.
Princípio do Menor Privilégio: Usuários recebem apenas as permissões necessárias para executar suas funções, com acesso restrito a recursos administrativos.
Autenticação Segura: Sistema de autenticação robusto com validação de credenciais e proteção contra tentativas de acesso não autorizado.
Gestão de Sessões: Tokens de autenticação seguros com expiração automática e renovação controlada para prevenir uso indevido.
MFA Obrigatório para Acesso Administrativo: Todos os acessos administrativos aos ambientes de produção, AWS, Cloudflare e GitHub exigem autenticação multifator (MFA) obrigatória, garantindo proteção contra acessos indevidos.

2. Controles de Rede e Servidores

Nossa infraestrutura é hospedada em ambientes cloud seguros com controles de rede em múltiplas camadas.

Infraestrutura AWS: Servidores hospedados na Amazon Web Services (AWS), provedor líder em cloud computing com certificações internacionais de segurança e alta disponibilidade.
Proteção Cloudflare: Utilizamos Cloudflare para proteção avançada contra ataques DDoS (Distributed Denial of Service), garantindo disponibilidade contínua da plataforma.
Firewalls e Segmentação: Isolamento de redes e controle rigoroso de tráfego entre diferentes camadas da aplicação, impedindo acessos não autorizados.
Monitoramento de Infraestrutura: Sistemas de monitoramento contínuo para detecção de anomalias, tentativas de intrusão e comportamentos suspeitos.
Atualizações de Segurança: Patches de segurança aplicados regularmente em sistemas operacionais, frameworks e serviços de rede para correção de vulnerabilidades conhecidas.

3. Criptografia

A Placefy utiliza criptografia em múltiplas camadas para proteger dados sensíveis tanto em trânsito quanto em repouso.

Criptografia em Trânsito: Todas as comunicações utilizam protocolo TLS/HTTPS com certificados digitais válidos, garantindo que dados transmitidos entre usuários e servidores não possam ser interceptados.
Criptografia de Tokens de Integração: Tokens de acesso e refresh tokens das integrações com marketplaces (TikTok Shop, Mercado Livre, etc.) são armazenados de forma criptografada no banco de dados, utilizando algoritmos robustos.
Proteção de Credenciais de Usuário: Senhas são armazenadas utilizando hash criptográfico com salt, tornando impossível sua recuperação mesmo em caso de vazamento de dados.
Criptografia em Repouso: Dados sensíveis armazenados em bancos de dados são protegidos por criptografia, garantindo segurança mesmo em caso de acesso físico não autorizado.
Proteção de Dados em Trânsito com APIs: Todas as comunicações com APIs de marketplaces utilizam protocolos seguros (HTTPS) e tokens criptografados.

4. Segregação de Ambientes

Mantemos ambientes segregados para garantir que mudanças no código sejam testadas adequadamente antes de chegarem à produção.

Ambientes Separados: Desenvolvimento, homologação e produção mantidos em infraestruturas isoladas.
Isolamento de Dados: Dados de produção não são utilizados em ambientes de desenvolvimento ou teste, garantindo privacidade e segurança.
Controles de Promoção: Processo rigoroso de revisão e aprovação antes que código seja promovido para produção.
Acesso Restrito: Apenas pessoal autorizado tem acesso ao ambiente de produção.

5. Logs, Auditorias e Monitoramento

Implementamos sistemas abrangentes de logging e monitoramento para rastrear atividades e detectar incidentes de segurança.

Registro de Atividades Críticas: Logs detalhados de autenticação, alterações de permissões, acesso a dados sensíveis e operações administrativas.
Monitoramento 24/7: Sistemas automatizados monitoram continuamente a plataforma para identificar comportamentos anômalos.
Alertas de Segurança: Notificações automáticas para eventos de segurança que requerem atenção imediata.
Retenção de Logs: Logs são armazenados de forma segura conforme políticas de retenção e requisitos regulatórios.
Análise Forense: Capacidade de investigar incidentes através de análise detalhada de logs históricos.

6. Proteção contra Malware e Varreduras de Segurança

Implementamos múltiplas camadas de proteção contra malware e código malicioso em toda a operação.

Proteção em Endpoints: Todos os dispositivos da equipe de desenvolvimento possuem soluções antivírus e antimalware corporativas instaladas e atualizadas automaticamente.
Varreduras no CI/CD: Pipeline de integração contínua realiza scans automatizados de segurança em todo código antes do deploy, incluindo detecção de vulnerabilidades e código malicioso.
Monitoramento de Dependências: Ferramentas como Dependabot, Snyk e GitHub Security Alerts monitoram continuamente bibliotecas de terceiros em busca de vulnerabilidades conhecidas.
Análise de Código Estática (SAST): Verificação automática de código-fonte para identificar padrões de segurança problemáticos, injeções de código e outras vulnerabilidades.
Proteção da Infraestrutura AWS: Utilização de recursos nativos de segurança da AWS, incluindo AWS GuardDuty para detecção de ameaças e comportamentos maliciosos.

7. Política de Desenvolvimento Seguro

Adotamos práticas de desenvolvimento seguro em todas as fases do ciclo de vida do software.

Secure Coding: Desenvolvedores seguem diretrizes de codificação segura para prevenir vulnerabilidades comuns como injeção de código, XSS e CSRF.
Code Reviews: Revisões de código obrigatórias por pares para identificar potenciais problemas de segurança antes da integração.
Testes de Segurança: Testes automatizados de segurança integrados ao pipeline de CI/CD, incluindo análise estática de código (SAST) e análise de dependências.
Gestão de Dependências: Monitoramento contínuo de bibliotecas e frameworks de terceiros para identificar e corrigir vulnerabilidades conhecidas.
Treinamento de Equipe: Capacitação regular da equipe de desenvolvimento em práticas de segurança e novas ameaças.

8. Gestão de Vulnerabilidades

Mantemos um processo ativo de identificação, avaliação e correção de vulnerabilidades de segurança.

Monitoramento de Dependências: Verificação contínua de vulnerabilidades em bibliotecas e frameworks de terceiros utilizados na plataforma, com atualizações aplicadas rapidamente.
Patch Management: Processo estruturado para aplicação de correções de segurança em tempo adequado conforme criticidade da vulnerabilidade.
Análise de Código: Revisão de código e práticas de desenvolvimento seguro para identificar e corrigir potenciais falhas antes da implantação em produção.
Resposta a Incidentes: Equipe preparada para responder rapidamente a incidentes de segurança, incluindo contenção, investigação e remediação.
Histórico de Segurança: A plataforma mantém um histórico sem incidentes de segurança reportados, demonstrando a eficácia das medidas preventivas implementadas.

9. Política de Classificação de Dados

A Placefy classifica dados conforme seu nível de sensibilidade para aplicar controles de segurança adequados. Importante: a Placefy não processa pagamentos e não armazena dados financeiros de transações.

Dados Públicos: Informações gerais sobre a plataforma que podem ser divulgadas publicamente sem riscos.
Dados de Cadastro: Informações básicas de usuários (nome, e-mail, empresa) protegidas conforme LGPD, utilizadas exclusivamente para operação da plataforma.
Tokens de Integração: Tokens de acesso e refresh tokens de marketplaces armazenados de forma criptografada, classificados como dados altamente sensíveis com acesso estritamente controlado.
Dados de Pedidos: Informações sobre pedidos sincronizadas dos marketplaces para fins de gestão, sem armazenamento de dados financeiros ou de pagamento dos clientes finais.
Não Armazenamento de Dados Sensíveis: A plataforma não armazena informações de cartão de crédito, dados bancários ou outras informações financeiras dos usuários finais dos marketplaces.
Conformidade com LGPD: Todas as categorias de dados pessoais são tratadas conforme a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) e regulações aplicáveis.

10. Contato

Se você tiver dúvidas sobre nossas práticas de segurança ou precisar reportar um incidente de segurança, entre em contato conosco:

Email: contato@placefy.com
Endereço: São Paulo, SP, Brasil

A Placefy está comprometida com a proteção dos seus dados e a manutenção dos mais altos padrões de segurança da informação. Revisão: Esta política é revisada anualmente ou sempre que houver mudanças significativas na infraestrutura de segurança da Placefy.