Confiança e segurança

• TLS 1.3 em todas as conexões
• Dados em repouso: AES-256 (Postgres / Supabase managed)
• Senhas: bcrypt com salt único
• API keys: armazenadas como SHA-256 hash (texto-claro nunca persiste)
• Webhooks: HMAC-SHA256 com secret por endpoint

• Row-Level Security em todas as tabelas com dados de usuário
• Cada cliente vê somente seus próprios dados — enforced no banco, não no app
• Service role usado só em rotas internas com gate explícito
• Multi-tenant via team_id em assinaturas Business

• Base legal por tratamento documentada em Política de Privacidade
• DPO designado: privacidade@sevenlicite.com.br
• Direitos do titular implementados: /conta/dados (acesso, correção, portabilidade, eliminação)
• Pessoas físicas mencionadas em dados públicos: nunca expostas em páginas indexáveis
• Retenção: 90 dias após cancelamento; 5 anos para dados fiscais

• Audit log de todas as ações sensíveis (criação/revogação de chave, mudança de plano, etc.)
• Logs de chamadas de API com IP, user-agent e latência
• Status público em /status
• Healthcheck público em /api/health

• Hospedagem: Vercel (frontend, região São Paulo gru1)
• Banco: Supabase (Postgres managed, backups automáticos)
• E-mail: Resend (transacional)
• Pagamentos: Stripe (PCI compliant; nunca armazenamos cartão)
• IA: Anthropic Claude (apenas conteúdo de licitação + perfil; sem PII identificável)

Lista completa em /privacidade.

Encontrou vulnerabilidade ou anomalia? Mande parasecurity@sevenlicite.com.br — respondemos em até 24h úteis. Programa de bug bounty informal: discutimos recompensa para vulnerabilidades reais via PIX/transferência.

DPA (Data Processing Agreement), SLA 99,9% contratual, on-premises sob demanda, single tenant disponível. Fale com vendas via /contato.