Como protegemos os seus dados.
A segurança é parte do produto, não um anexo. Esta página descreve a infraestrutura, controlos, certificações e processos de resposta a incidentes que aplicamos por padrão a todos os clientes.
// 01 · INFRAESTRUTURACloud-native, multi-região.
Toda a plataforma X7 corre em infraestrutura cloud com isolamento por cliente e redundância multi-zona.
AWS · Vercel
Edge functions globais. Cold-start < 100ms. Auto-scaling.
Supabase · Postgres
Postgres 15 com RLS (Row Level Security) por defeito. pgvector para embeddings.
EU + Middle East
Frankfurt (eu-central-1) e Bahrein (me-south-1). Localidade conforme requisito do Cliente.
Cloudflare · Vercel Edge
DDoS protection, WAF, bot mitigation, TLS termination na edge.
// 02 · CRIPTOGRAFIAPor defeito. Sem excepções.
- Em trânsito: TLS 1.3 obrigatório. Certificados rotacionados automaticamente.
- Em repouso: AES-256 para todos os dados de cliente, incluindo backups.
- Aplicação: dados sensíveis (tokens, secrets) cifrados ao nível da aplicação antes de tocar em disco.
- Gestão de chaves: AWS KMS com rotação automática. Acesso a chaves auditado.
// 03 · AUTENTICAÇÃO & ACESSOPrincípio do menor privilégio.
- SSO via Supabase Auth. Suporte a magic link, OAuth (Google, Microsoft), email/password com password hashing bcrypt.
- 2FA disponível. Recomendado para todas as contas admin.
- RLS no Postgres. Cada query passa por políticas de segurança. Multi-tenancy garantido a nível de base de dados.
- Rotação de credenciais. Tokens de API com expiração configurável e revogação imediata.
- Audit logs. Todas as acções administrativas são registadas e imutáveis.
// 04 · COMPLIANCECertificações e conformidade.
SOC2 Type II
Auditoria SOC2 Type II em curso. Preview report disponível sob NDA. Relatório final previsto para Q4 2026. Cobre os princípios Security, Availability, Confidentiality e Privacy.
LGPD (Brasil)
DPO designado, RAT, processo de notificação à ANPD.
GDPR (UE)
DPAs com sub-processadores. SCCs para transferência internacional.
ISO 27001
Roadmap definido. Início da implementação previsto Q1 2027.
PDPL (Bahrein)
Lei nº 30 de 2018. Dados localizados em região Bahrein quando exigido.
// 05 · BACKUPS & DRRecuperação testada.
- Backups automáticos diários. Retenção de 30 dias. Cifrados em repouso.
- Point-in-time recovery (PITR). Recuperação para qualquer momento nos últimos 7 dias.
- RTO (Recovery Time Objective): 4 horas.
- RPO (Recovery Point Objective): 24 horas (worst case), 1 hora (típico).
- Testes de restauração: trimestrais. Resultados documentados.
// 06 · MONITORING24/7. Alertas humanos.
- Observability stack: Sentry (errors), Logflare (logs), Vercel Analytics, Supabase metrics.
- Status page público: em construção (status.x7growth.com).
- Alertas críticos: notificação a engenheiro on-call em < 5 minutos.
- SIEM: em fase de implementação. Correlação de eventos de segurança em tempo real.
// 07 · INCIDENT RESPONSETransparência por defeito.
- Classificação: incidentes classificados por severidade (P0–P4) com playbooks específicos.
- Notificação ao Cliente: em até 72 horas para incidentes que afectem dados pessoais (LGPD/GDPR).
- Post-mortem público: incidentes P0/P1 geram post-mortem público em até 14 dias após resolução.
- Bug bounty: programa em preparação. Disclosure responsável aceite via security@x7growth.com.
// 08 · SUB-PROCESSADORESLista pública.
A X7 utiliza sub-processadores cuidadosamente seleccionados, todos com DPAs assinados e certificações próprias:
- AWS — Cloud infrastructure (SOC2, ISO 27001, GDPR)
- Vercel — Edge hosting & CDN (SOC2)
- Supabase — Database & Auth (SOC2 Type II)
- Stripe — Pagamentos (PCI-DSS Level 1)
- Resend — Email transaccional (SOC2)
- OpenAI / Anthropic — Modelos de IA (DPAs com opt-out de treino)
- Cloudflare — DNS, CDN, WAF (SOC2, ISO 27001)
Pedido de informação de segurança?
Para auditorias, RFPs, security questionnaires — contacte directamente.
security@x7growth.com