Política de Segurança
Última atualização: 20 de abril de 2026
A segurança da informação é pilar do 361 STATION. Esta política descreve as práticas adotadas para proteger dados e sistemas, bem como o canal para divulgação responsável de vulnerabilidades.
1. Medidas técnicas
- TLS 1.2+ em todas as rotas públicas e autenticadas, com HSTS ativo e preload.
- Cabeçalhos HTTP de segurança: X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Senhas armazenadas com hash criptográfico (bcrypt via Supabase Auth).
- Tokens OAuth de terceiros (Google) criptografados em repouso com AES-256-GCM.
- Isolamento multi-tenant no banco de dados, com Row Level Security nas tabelas sensíveis.
- Controle de acesso baseado em papel (RBAC): super_admin, admin, professional.
- Logs de auditoria para ações críticas.
- Backups automáticos com retenção mínima de 7 dias.
2. Medidas administrativas
- Princípio do menor privilégio no acesso a recursos internos.
- Gestão de segredos fora do código-fonte (variáveis de ambiente gerenciadas pelo provedor de hospedagem).
- Revisão periódica de dependências para identificar vulnerabilidades conhecidas.
- Rotação imediata de credenciais em caso de exposição ou suspeita.
3. Resposta a incidentes
Em caso de incidente de segurança que envolva dados pessoais e possa acarretar risco ou dano relevante aos titulares, o 361 STATION adotará os seguintes procedimentos, conforme o Art. 48 da LGPD:
- Contenção imediata e análise de impacto.
- Comunicação à ANPD em prazo razoável, com descrição do incidente e medidas tomadas.
- Comunicação aos titulares afetados.
- Plano de remediação e medidas preventivas.
4. Divulgação responsável de vulnerabilidades
Pesquisadores de segurança e usuários que identificarem vulnerabilidades são encorajados a comunicar-se de forma responsável pelo e-mail seguranca@3meia1.com.br.
Comprometemo-nos a:
- Acusar o recebimento em até 3 dias úteis.
- Investigar e validar a vulnerabilidade em tempo hábil.
- Não tomar medidas legais contra pesquisadores que atuem de boa-fé, respeitando os limites desta política.
- Reconhecer publicamente, quando o pesquisador autorizar, contribuições significativas.
Solicitamos que o pesquisador:
- Evite acessar, modificar ou exfiltrar dados de terceiros além do mínimo necessário para demonstrar a vulnerabilidade.
- Não execute ataques de negação de serviço, spam ou engenharia social contra funcionários ou clientes.
- Conceda prazo razoável para correção antes de divulgação pública.
5. Arquivo security.txt
Mantemos um arquivo padronizado (RFC 9116) para contato de pesquisadores em /.well-known/security.txt.
6. Contato
- Segurança: seguranca@3meia1.com.br
- Privacidade: privacidade@3meia1.com.br
- Administrativo: admin@3meia1.com.br