Início / Segurança
Segurança da plataforma
Controles técnicos e administrativos adotados ou em implementação para proteger contas, credenciais e dados operacionais.
Arquitetura de segurança
- HTTPS: todo o tráfego do website e da plataforma protegido por TLS;
- Controle de acesso: acesso restrito a usuários administrativos autorizados;
- Autenticação e autorização: mecanismos oficiais para integração com contas Google; autenticação própria para acesso à plataforma;
- Menor privilégio: cada credencial e cada serviço com o mínimo de permissões necessário;
- Segregação de ambientes: separação entre desenvolvimento, homologação e produção;
- Registro de operações: ações relevantes registradas para auditoria;
- Monitoramento: acompanhamento de logs e comportamento anômalo;
- Backups: cópias de segurança de configurações e dados operacionais;
- Atualização de dependências: revisão e atualização periódica de componentes;
- Tratamento de incidentes: processo de identificação, contenção, correção e registro.
Proteção de credenciais
Credenciais e tokens não devem ser:
- Expostos no frontend;
- Gravados em código-fonte;
- Enviados ao navegador;
- Armazenados em repositórios;
- Exibidos em logs.
Segredos são mantidos em variáveis de ambiente ou mecanismos de configuração protegidos, acessíveis apenas ao backend autorizado. A plataforma não solicita nem armazena senhas de contas Google.
Auditoria
Operações realizadas por automações deverão possuir registros contendo:
- Data e horário;
- Usuário ou serviço responsável;
- Conta afetada;
- Tipo de operação;
- Recurso modificado ou consultado;
- Resultado da operação.
Operações de maior impacto — como alterações de orçamento ou de status — seguem fluxo de pré-visualização e aprovação humana quando configurado, antes de qualquer aplicação.
Revogação de acesso
O acesso concedido à plataforma pode ser revogado a qualquer momento pelos administradores das contas, por meio das configurações de segurança da própria conta Google, além da desativação interna de credenciais na plataforma.