Política de Segurança da Informação | Vello Suite

Information Security Policy

Política de Segurança da Informação

Última atualização: 5 de maio de 2026Versão 1.0

1. Objetivo

Esta política estabelece as diretrizes, responsabilidades e controles de segurança da informação adotados pela Vello Suite para proteger a confidencialidade, integridade e disponibilidade dos dados sob sua custódia — incluindo dados de clientes (tenants), seus consumidores finais e da própria organização.

O documento é aplicável a todos os colaboradores, prestadores de serviço e sistemas que compõem a infraestrutura da Vello Suite.

2. Escopo

Esta política abrange:

  • Toda a infraestrutura de produção (banco de dados, servidores de aplicação, edge functions, CDN)
  • Ambientes de desenvolvimento e staging
  • Endpoints corporativos (estações de trabalho e dispositivos móveis)
  • Serviços de terceiros integrados à plataforma
  • Dados pessoais, financeiros e comerciais processados pela plataforma

3. Governança de Segurança

A segurança da informação é responsabilidade de toda a organização, com papéis definidos:

PapelResponsabilidade
DPO / EncarregadoSupervisão de conformidade LGPD, ponto de contato com titulares e ANPD
Líder de EngenhariaImplementação de controles técnicos, revisão de código, gestão de vulnerabilidades
Todos os colaboradoresCumprimento desta política, reporte de incidentes, uso seguro de credenciais

A política é revisada anualmente ou sempre que houver mudança significativa na infraestrutura, regulamentação ou após incidentes de segurança.

4. Arquitetura e Infraestrutura

4.1. Localização dos dados

Todos os dados de produção são armazenados na região sa-east-1 (São Paulo, Brasil) da AWS, via Supabase. Isso garante conformidade com requisitos de residência de dados da LGPD.

4.2. Componentes principais

  • Banco de dados: PostgreSQL gerenciado (Supabase) com backups automáticos diários e point-in-time recovery
  • Autenticação: Supabase Auth com JWT, refresh token rotation e session management
  • Edge Functions: Deno runtime isolado por requisição (Supabase Edge)
  • Frontend: Vercel CDN com deploy imutável e rollback instantâneo
  • Pagamentos: Stripe (PCI DSS Level 1) — credenciais nunca tocam nossos servidores

4.3. Segregação de rede e ambientes

  • Ambientes de produção, staging e desenvolvimento são completamente isolados
  • Banco de dados de produção não é acessível a partir de redes públicas — acesso exclusivo via connection pooler com TLS obrigatório
  • Edge Functions executam em runtime isolado (V8 isolates) sem acesso ao filesystem do host
  • Comunicação entre serviços internos exclusivamente via HTTPS/TLS 1.3
  • Firewall de aplicação (WAF) ativo na camada CDN com regras contra DDoS, SQL injection e XSS

5. Proteção contra Ameaças

5.1. Proteção de rede

  • WAF (Web Application Firewall) com regras atualizadas automaticamente
  • Proteção DDoS na camada de CDN (Vercel / Cloudflare)
  • Rate limiting por IP e por usuário em todas as APIs
  • CORS restritivo — apenas domínios autorizados, nunca wildcard
  • Headers de segurança em todas as respostas (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)

5.2. Proteção de endpoints (baseline de segurança)

Todos os dispositivos corporativos devem atender ao baseline mínimo:

  • Antivírus/EDR: Solução de endpoint protection ativa e atualizada em todos os terminais
  • Sistema operacional: Versão suportada com atualizações automáticas habilitadas
  • Disco: Criptografia full-disk obrigatória (FileVault/BitLocker)
  • Bloqueio de tela: Automático após 5 minutos de inatividade
  • Senha: Mínimo 12 caracteres com complexidade
  • MFA: Obrigatório em todos os serviços (Supabase, Vercel, GitHub, email corporativo)
  • Firewall local: Habilitado com regras restritivas

5.3. Segurança de aplicação

  • Row Level Security (RLS) ativo em 100% das tabelas — isolamento de dados entre tenants
  • Validação de input em todas as camadas (frontend + backend)
  • Sanitização contra XSS e SQL injection
  • Dependências auditadas automaticamente (npm audit, Dependabot)
  • Code review obrigatório antes de merge em produção

6. Monitoramento e Auditoria

  • Logs de auditoria para todas as operações sensíveis (login, alteração de permissões, operações financeiras, criação/exclusão de recursos)
  • Logs retidos por 90 dias em ambiente seguro com acesso restrito
  • Alertas automáticos para tentativas de acesso não autorizado, rate limit excedido e erros de autenticação em massa
  • Monitoramento de uptime 24/7 com alertas em tempo real

Dados nunca logados: senhas, tokens de sessão, dados de cartão de crédito, CPF/RG ou qualquer dado pessoal sensível.

7. Gestão de Terceiros

Todos os provedores de serviço que processam dados são avaliados quanto a:

  • Certificações de segurança (SOC 2, ISO 27001, PCI DSS quando aplicável)
  • Localização dos dados e conformidade com LGPD
  • Práticas de criptografia e controle de acesso
  • Histórico de incidentes e transparência
ProvedorFunçãoCertificações
Supabase (AWS)Banco de dados, Auth, StorageSOC 2 Type II, ISO 27001
VercelHosting, CDNSOC 2 Type II
StripeProcessamento de pagamentosPCI DSS Level 1

8. Continuidade de Negócio

  • Backups automáticos diários com retenção de 30 dias
  • Point-in-time recovery disponível para as últimas 7 dias
  • Infraestrutura com redundância geográfica na camada de CDN
  • Deploy imutável com rollback instantâneo em caso de falha
  • RTO (Recovery Time Objective): 4 horas
  • RPO (Recovery Point Objective): 24 horas

9. Conformidade Regulatória

  • LGPD (Lei 13.709/2018): Conformidade total — DPO designado, base legal documentada, direitos dos titulares implementados
  • Marco Civil da Internet (Lei 12.965/2014): Retenção de logs conforme exigido
  • PCI DSS: Delegado ao Stripe — dados de cartão nunca transitam por nossos servidores

Nenhuma violação de segurança ou vazamento de dados foi registrado nos últimos 3 anos de operação.

10. Contato

Para questões relacionadas a esta política:

  • DPO / Encarregado: privacidade@vellosuite.com.br
  • Reporte de vulnerabilidades: seguranca@vellosuite.com.br

Vello Suite — CNPJ 66.427.801/0001-46
Rua Vereador Alexandre Antonello, 323 — Dois Vizinhos/PR, Brasil