Versão 1.0.0 · Publicado em 14/07/2026

Política de Segurança

Versão 1.0.0 — vigente a partir de 01/01/1970. Última revisão: 01/01/1970.

Este documento integra o conjunto de instrumentos jurídicos do NexPet e deve ser interpretado em conjunto com os demais documentos publicados em https://nex-pet.lovable.app/legal.

1. Objetivo

Esta Política descreve as práticas de segurança da informação adotadas pelo NexPet para proteger a confidencialidade, integridade e disponibilidade dos dados tratados.

2. Criptografia

  • Em trânsito: TLS 1.2 ou superior em todas as comunicações.
  • Em repouso: criptografia AES-256 aplicada pela infraestrutura de banco de dados e armazenamento de objetos.
  • Senhas: armazenadas com algoritmos de hash resistentes (bcrypt/argon2), com salt individual.

3. Isolamento Multi-Tenant

Cada tenant possui isolamento lógico completo por meio de Row Level Security (RLS) no banco de dados, com políticas que impedem qualquer acesso cruzado entre tenants.

4. Autenticação e Controle de Acesso

  • Autenticação via Supabase Auth com e-mail/senha ou OAuth (Google).
  • Sessões com tokens JWT de curta duração e refresh tokens rotativos.
  • Controle de acesso baseado em papéis (RBAC): admin, staff, veterinário, atendente.
  • Recuperação de senha via código OTP de 6 dígitos com expiração curta.
  • Suporte a MFA planejado para contas Master.

5. Backup

  • Backups automáticos diários da base de dados, com retenção mínima de 7 dias.
  • Testes periódicos de restauração.
  • Armazenamento em região distinta da produção quando aplicável.

6. Infraestrutura

  • Hospedagem em provedores certificados (SOC 2, ISO 27001) por meio do Lovable Cloud, Supabase e Cloudflare.
  • Redundância e alta disponibilidade fornecidas pela infraestrutura subjacente.
  • Segurança física de datacenters garantida pelos provedores.

7. Segurança Lógica

  • Rate limiting por IP e por usuário em endpoints sensíveis.
  • Headers de segurança: HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP.
  • Sanitização de entradas e validação com Zod.
  • Proteção contra XSS, CSRF, injeção SQL, SSRF e ataques de força bruta.
  • Verificação de assinatura em webhooks (Stripe).
  • Auditoria de ações administrativas (master_audit_logs).

8. Gestão de Vulnerabilidades

  • Monitoramento contínuo de dependências (dependabot / scans).
  • Aplicação de patches de segurança em prazos compatíveis com a criticidade.
  • Canal responsável para divulgação responsável: security@nexpet.com.br.

9. Resposta a Incidentes

  • Playbook interno de resposta a incidentes.
  • Notificação aos titulares e à ANPD quando cabível, conforme LGPD.
  • Preservação de evidências para análise forense.

10. Responsabilidade do Usuário

O Usuário deve:

  • Manter suas credenciais em sigilo;
  • Utilizar senhas fortes e únicas;
  • Não compartilhar contas;
  • Manter dispositivos e navegadores atualizados;
  • Comunicar imediatamente qualquer suspeita de comprometimento.

11. Boas Práticas Recomendadas

  • Revisar periodicamente os acessos concedidos a colaboradores;
  • Utilizar gerenciadores de senha;
  • Ativar autenticação em dois fatores nos provedores de e-mail associados;
  • Realizar treinamentos internos de segurança.