Versão 1.0.0 · Publicado em 14/07/2026
Política de Segurança
Versão 1.0.0 — vigente a partir de 01/01/1970. Última revisão: 01/01/1970.
Este documento integra o conjunto de instrumentos jurídicos do NexPet e deve ser interpretado em conjunto com os demais documentos publicados em https://nex-pet.lovable.app/legal.
1. Objetivo
Esta Política descreve as práticas de segurança da informação adotadas pelo NexPet para proteger a confidencialidade, integridade e disponibilidade dos dados tratados.
2. Criptografia
- Em trânsito: TLS 1.2 ou superior em todas as comunicações.
- Em repouso: criptografia AES-256 aplicada pela infraestrutura de banco de dados e armazenamento de objetos.
- Senhas: armazenadas com algoritmos de hash resistentes (bcrypt/argon2), com salt individual.
3. Isolamento Multi-Tenant
Cada tenant possui isolamento lógico completo por meio de Row Level Security (RLS) no banco de dados, com políticas que impedem qualquer acesso cruzado entre tenants.
4. Autenticação e Controle de Acesso
- Autenticação via Supabase Auth com e-mail/senha ou OAuth (Google).
- Sessões com tokens JWT de curta duração e refresh tokens rotativos.
- Controle de acesso baseado em papéis (RBAC): admin, staff, veterinário, atendente.
- Recuperação de senha via código OTP de 6 dígitos com expiração curta.
- Suporte a MFA planejado para contas Master.
5. Backup
- Backups automáticos diários da base de dados, com retenção mínima de 7 dias.
- Testes periódicos de restauração.
- Armazenamento em região distinta da produção quando aplicável.
6. Infraestrutura
- Hospedagem em provedores certificados (SOC 2, ISO 27001) por meio do Lovable Cloud, Supabase e Cloudflare.
- Redundância e alta disponibilidade fornecidas pela infraestrutura subjacente.
- Segurança física de datacenters garantida pelos provedores.
7. Segurança Lógica
- Rate limiting por IP e por usuário em endpoints sensíveis.
- Headers de segurança: HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP.
- Sanitização de entradas e validação com Zod.
- Proteção contra XSS, CSRF, injeção SQL, SSRF e ataques de força bruta.
- Verificação de assinatura em webhooks (Stripe).
- Auditoria de ações administrativas (master_audit_logs).
8. Gestão de Vulnerabilidades
- Monitoramento contínuo de dependências (dependabot / scans).
- Aplicação de patches de segurança em prazos compatíveis com a criticidade.
- Canal responsável para divulgação responsável: security@nexpet.com.br.
9. Resposta a Incidentes
- Playbook interno de resposta a incidentes.
- Notificação aos titulares e à ANPD quando cabível, conforme LGPD.
- Preservação de evidências para análise forense.
10. Responsabilidade do Usuário
O Usuário deve:
- Manter suas credenciais em sigilo;
- Utilizar senhas fortes e únicas;
- Não compartilhar contas;
- Manter dispositivos e navegadores atualizados;
- Comunicar imediatamente qualquer suspeita de comprometimento.
11. Boas Práticas Recomendadas
- Revisar periodicamente os acessos concedidos a colaboradores;
- Utilizar gerenciadores de senha;
- Ativar autenticação em dois fatores nos provedores de e-mail associados;
- Realizar treinamentos internos de segurança.