Segurança — ContasNoZap

Termos de Uso Privacidade LGPD Cookies Segurança

A segurança dos seus dados é prioridade no ContasNoZap. Esta página detalha as medidas técnicas e organizacionais que adotamos para proteger suas informações.

Infraestrutura

DigitalOcean HTTPS / TLS 1.3 Nginx PostgreSQL PHP 8.3

O ContasNoZap é hospedado em servidores da DigitalOcean, com data center no Brasil. Toda comunicação entre seu navegador e nossos servidores é criptografada com TLS 1.3.

Proteção de Senhas

Suas senhas nunca são armazenadas em texto simples. Utilizamos o algoritmo bcrypt com salt único por usuário para armazenamento seguro. Nem a equipe da ContasNoZap tem acesso à sua senha.

Autenticação e Sessões

Sessões autenticadas são protegidas com tokens CSRF em todas as requisições;
Tokens de sessão são regenerados após o login para prevenir ataques de fixação de sessão;
Sessões inativas expiram automaticamente;
Tentativas de login com falha são monitoradas para detecção de ataques de força bruta.

Proteção de Dados Financeiros

Seus dados financeiros (contas, valores, vencimentos) são armazenados em banco de dados PostgreSQL com acesso restrito:

Acesso ao banco de dados restrito a conexões internas do servidor;
Credenciais de banco de dados isoladas por ambiente (produção/desenvolvimento);
Não armazenamos dados de cartão de crédito — pagamentos são processados exclusivamente via PIX pelo PagueDev;
Imagens de boletos são processadas e descartadas após extração dos dados.

Proteção da API e Webhooks

Webhooks do PagueDev são validados com assinatura HMAC-SHA256 para prevenir requisições forjadas;
Chaves de API armazenadas em variáveis de ambiente, nunca no código-fonte;
Processamento assíncrono de webhooks para evitar exposição de dados sensíveis em logs.

Backups e Disponibilidade

Backups automáticos do banco de dados realizados diariamente;
Retenção de backups por 7 dias;
Monitoramento contínuo de disponibilidade do servidor;
Processo de recuperação de desastres documentado.

Comunicações via WhatsApp

Mensagens enviadas via WhatsApp são transmitidas através da API da Gupshup, que utiliza a infraestrutura oficial do WhatsApp Business API. As mensagens são criptografadas de ponta a ponta pelo próprio WhatsApp.

Divulgação Responsável de Vulnerabilidades

Se você encontrou uma vulnerabilidade de segurança no ContasNoZap, pedimos que nos comunique de forma responsável antes de qualquer divulgação pública:

Reportar vulnerabilidade:
E-mail: [email protected]
Assunto: Vulnerabilidade de Segurança

Comprometemo-nos a analisar e responder em até 5 dias úteis. Não realizamos ações legais contra pesquisadores que reportem vulnerabilidades de boa-fé.

Incidentes de Segurança

Em caso de incidente de segurança que comprometa dados pessoais dos usuários, a ContasNoZap se compromete a:

Comunicar os titulares afetados em até 72 horas após a descoberta, conforme a LGPD;
Notificar a ANPD (Autoridade Nacional de Proteção de Dados) quando exigido;
Tomar as medidas imediatas para contenção e mitigação do incidente;
Documentar o incidente e as ações tomadas.