Segurança e Conformidade SOC 2
Última atualização: 1 de junho de 2026
A plataforma **Qualifica Leads IA** foi concebida sob rigorosos padrões de segurança cibernética corporativa. Sabemos que os dados de conversas com clientes e integrações de redes sociais são ativos altamente sensíveis da sua empresa.
Esta página detalha nossas políticas, arquitetura técnica e práticas de conformidade estruturadas em alinhamento com os critérios de **Segurança, Confidencialidade e Disponibilidade** descritos no padrão global **SOC 2 (System and Organization Controls)**.
1. Hospedagem e Infraestrutura Certificada SOC 2 Type II
Para garantir resiliência e proteção de nível militar, a nossa aplicação e banco de dados rodam inteiramente em infraestruturas e data centers de classe mundial. Todos os nossos provedores de nuvem parceiros são auditados de forma independente e possuem certificações ativas de segurança:
- Supabase & AWS (Amazon Web Services): Nossa camada lógica de dados e banco de dados relacional está hospedada na infraestrutura de nuvem segura da AWS, gerenciada sob as normas de segurança do Supabase. A infraestrutura possui certificações ativas **SOC 2 Tipo II, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018** e conformidade **PCI-DSS**.
- Vercel Edge Network: O front-end e os endpoints de API são distribuídos globalmente através da rede de borda (Edge Network) de ultra-baixa latência da Vercel, que opera sob auditoria SOC 2 Tipo II contínua e mitiga ataques cibernéticos em tempo real.
2. Criptografia de Dados (Em Trânsito e Em Repouso)
Adotamos protocolos rígidos de criptografia para blindar todas as informações que trafegam ou residem em nosso ecossistema SaaS:
- Criptografia em Trânsito (HTTPS/TLS): Todas as comunicações entre o navegador do usuário, as APIs externas da Meta e os nossos servidores são protegidas usando criptografia TLS 1.3 / HTTPS (SSL) com Perfect Forward Secrecy.
- Criptografia de Repouso (AES-256): O banco de dados físico, incluindo discos rígidos virtuais, tabelas e backups automatizados, é protegido de forma permanente com criptografia simétrica no padrão **AES-256**.
- Criptografia de Credenciais de Alta Segurança (AES-256-GCM): Os tokens de autenticação social obtidos na integração OAuth da Meta (Instagram Graph API) são submetidos a criptografia simétrica avançada usando o algoritmo **AES-256-GCM** na camada de banco de dados, utilizando chaves exclusivas de ambiente com rotação programada.
3. Isolamento Hermético Multi-tenant (Supabase RLS)
Um dos pilares do controle SOC 2 é a garantia de isolamento de dados confidenciais entre clientes. Nossa arquitetura adota a metodologia de **Row-Level Security (RLS)** integrada no PostgreSQL. Isso significa que as consultas ao banco de dados são validadas de forma nativa a nível de linha: um cliente corporativo jamais conseguirá visualizar, acessar ou modificar dados pertencentes a outro cliente, mesmo no caso improvável de uma falha de lógica na interface.
4. Integridade e Defesa de APIs
Para blindar as conexões de webhooks ativos e prevenir injeções maliciosas ou falsificação de requisições externas:
- Assinaturas HMAC-SHA256: Cada webhook enviado pela Meta (Instagram) é obrigatoriamente submetido a uma validação de assinatura criptográfica. Processamos apenas dados autenticados com o hash SHA256 correto, rejeitando imediatamente qualquer requisição não autorizada.
- Rate Limiting e Proteção de Bordas: Nossas rotas públicas de API possuem controles automáticos de limite de taxa de requisições por IP, contendo possíveis ataques DDoS (Negação de Serviço) e varreduras automatizadas.
5. Resiliência, Backups e Monitoramento Contínuo
Para garantir que as automações e o CRM de nossos Clientes permaneçam sempre disponíveis e operacionais:
- Disponibilidade de Borda (Edge Service): Hospedagem construída sobre funções de borda serverless que mitigam pontos únicos de falha física em servidores tradicionais.
- Backups Incrementais Diários: Backups diários completos de toda a estrutura do banco de dados relacional são gerados automaticamente e armazenados de forma criptografada em múltiplas zonas físicas geográficas (Multi-AZ).
- Monitoramento e Logs: Coleta ativa de telemetria de performance e logs de segurança que auxiliam na detecção precoce de anomalias operacionais na plataforma.
6. Contato de Segurança
Caso você seja um pesquisador de segurança e deseje reportar uma vulnerabilidade ou seja um cliente que precise de informações complementares sobre nossa arquitetura corporativa e auditorias de cibersegurança, envie um e-mail para nossa equipe de segurança da informação:contato@qualificaleadsia.com.br.