Início / Segurança

Segurança da plataforma

Controles técnicos e administrativos adotados ou em implementação para proteger contas, credenciais e dados operacionais.

A plataforma está em desenvolvimento. Esta página descreve a arquitetura de segurança prevista e os controles adotados ou em implementação — controles ainda não implementados não são declarados como concluídos.

Arquitetura de segurança

  • HTTPS: todo o tráfego do website e da plataforma protegido por TLS;
  • Controle de acesso: acesso restrito a usuários administrativos autorizados;
  • Autenticação e autorização: mecanismos oficiais para integração com contas Google; autenticação própria para acesso à plataforma;
  • Menor privilégio: cada credencial e cada serviço com o mínimo de permissões necessário;
  • Segregação de ambientes: separação entre desenvolvimento, homologação e produção;
  • Registro de operações: ações relevantes registradas para auditoria;
  • Monitoramento: acompanhamento de logs e comportamento anômalo;
  • Backups: cópias de segurança de configurações e dados operacionais;
  • Atualização de dependências: revisão e atualização periódica de componentes;
  • Tratamento de incidentes: processo de identificação, contenção, correção e registro.

Proteção de credenciais

Credenciais e tokens não devem ser:

  • Expostos no frontend;
  • Gravados em código-fonte;
  • Enviados ao navegador;
  • Armazenados em repositórios;
  • Exibidos em logs.

Segredos são mantidos em variáveis de ambiente ou mecanismos de configuração protegidos, acessíveis apenas ao backend autorizado. A plataforma não solicita nem armazena senhas de contas Google.

Auditoria

Operações realizadas por automações deverão possuir registros contendo:

  • Data e horário;
  • Usuário ou serviço responsável;
  • Conta afetada;
  • Tipo de operação;
  • Recurso modificado ou consultado;
  • Resultado da operação.

Operações de maior impacto — como alterações de orçamento ou de status — seguem fluxo de pré-visualização e aprovação humana quando configurado, antes de qualquer aplicação.

Revogação de acesso

O acesso concedido à plataforma pode ser revogado a qualquer momento pelos administradores das contas, por meio das configurações de segurança da própria conta Google, além da desativação interna de credenciais na plataforma.