1. Objetivo
Definir o processo sistemático de identificação, avaliação, priorização e correção de vulnerabilidades técnicas nos sistemas da Vello Suite, reduzindo a superfície de ataque e mantendo um nível de risco aceitável de forma contínua.
2. Escopo
Este processo abrange:
- Código-fonte da aplicação (frontend e backend)
- Dependências de terceiros (bibliotecas, frameworks, pacotes npm)
- Infraestrutura de produção (banco de dados, edge functions, CDN)
- Configurações de segurança (RLS policies, CORS, headers)
- Integrações com serviços externos (APIs, webhooks, OAuth)
- Endpoints corporativos (estações de trabalho)
3. Identificação de Vulnerabilidades
3.1. Varreduras automatizadas
- Dependências: npm audit e Dependabot executados automaticamente em cada push e semanalmente
- Código: Análise estática (linting de segurança) integrada ao pipeline de CI
- Infraestrutura: Verificação de configurações de segurança (RLS, policies, headers) via testes automatizados
- Containers/Runtime: Scan de vulnerabilidades no runtime do Supabase gerenciado pelo provedor
3.2. Revisão manual
- Code review obrigatório com foco em segurança para toda alteração em produção
- Revisão periódica de RLS policies e controles de acesso (trimestral)
- Teste manual de cenários de ataque em features novas (checklist de segurança)
- Revisão de configurações de terceiros (Supabase, Vercel, Stripe) trimestralmente
3.3. Fontes externas
- Monitoramento de CVEs em dependências utilizadas
- Acompanhamento de advisories de segurança dos provedores (Supabase, Vercel, Node.js)
- Canal de reporte externo: seguranca@vellosuite.com.br
4. Classificação e Priorização
Vulnerabilidades são classificadas com base no CVSS (Common Vulnerability Scoring System) adaptado ao contexto da aplicação:
| Severidade | CVSS | SLA de correção | Exemplos |
|---|---|---|---|
| Crítica | 9.0 – 10.0 | ≤ 24 horas | RCE, bypass de autenticação, vazamento de dados em massa |
| Alta | 7.0 – 8.9 | ≤ 7 dias | SQL injection, XSS persistente, escalação de privilégio |
| Média | 4.0 – 6.9 | ≤ 30 dias | XSS refletido, CSRF, information disclosure limitado |
| Baixa | 0.1 – 3.9 | ≤ 90 dias | Headers ausentes, versão exposta, best practices |
Fatores que elevam a prioridade: dados pessoais envolvidos, exposição pública, exploração ativa conhecida, impacto multi-tenant.
5. Processo de Correção
- Triagem: Vulnerabilidade identificada é classificada e atribuída a um responsável
- Análise de impacto: Avaliação de quais sistemas, dados e tenants são afetados
- Desenvolvimento do fix: Correção implementada seguindo práticas de secure coding
- Code review: Revisão obrigatória com foco na eficácia da correção
- Teste: Validação de que a vulnerabilidade foi eliminada sem regressões
- Deploy: Publicação em produção com monitoramento intensificado
- Verificação: Confirmação pós-deploy de que a vulnerabilidade não é mais explorável
6. Medidas Preventivas
6.1. Secure Development Lifecycle
- Checklist de segurança obrigatório para toda feature nova
- Validação de input em todas as camadas (frontend + backend + banco)
- Princípio de fail-closed: na dúvida, negar acesso
- Dependências com versões fixas (pinned) — sem ranges abertos
- Atualização proativa de dependências (não esperar vulnerabilidade)
6.2. Controles técnicos permanentes
- RLS em 100% das tabelas — impossibilidade estrutural de acesso cross-tenant
- Rate limiting em todas as APIs (login: 5/min, geral: 60/min, financeiro: 5/min)
- WAF com regras atualizadas automaticamente
- CSP (Content Security Policy) restritivo
- Sanitização de output contra XSS
- Prepared statements / parameterized queries (proteção contra SQL injection)
6.3. Treinamento
- Equipe de engenharia treinada em OWASP Top 10
- Revisão de segurança como parte do onboarding técnico
- Compartilhamento de post-mortems e lições aprendidas
7. Métricas e Monitoramento
- Tempo médio de correção por severidade (MTTR)
- Número de vulnerabilidades abertas por severidade
- Cobertura de varredura (% de código/dependências analisados)
- Taxa de reincidência (mesma classe de vulnerabilidade)
- Idade das dependências (tempo desde última atualização)
Métricas revisadas mensalmente pela equipe de engenharia com plano de ação para desvios.
8. Responsible Disclosure
A Vello Suite encoraja o reporte responsável de vulnerabilidades por pesquisadores de segurança:
- Canal: seguranca@vellosuite.com.br
- Resposta inicial: Em até 48 horas úteis
- Compromisso: Não tomaremos ação legal contra pesquisadores que reportem de boa-fé
- Informações solicitadas: Descrição da vulnerabilidade, passos para reprodução, impacto estimado
9. Contato
Para reportar vulnerabilidades ou questões sobre este processo:
- Reporte de vulnerabilidades: seguranca@vellosuite.com.br
- DPO: privacidade@vellosuite.com.br
Vello Suite — CNPJ 66.427.801/0001-46
Rua Vereador Alexandre Antonello, 323 — Dois Vizinhos/PR, Brasil