1. Autenticação e acesso
- Login por e-mail e senha, com regras mínimas de complexidade (8+ caracteres).
- Login social opcional via Google.
- Sessões assinadas por JWT, renovadas automaticamente.
- Recuperação de senha por link temporário enviado por e-mail.
- Painel administrativo isolado, com controle de papéis e auditoria de ações.
2. Proteção de dados
- Tráfego HTTPS obrigatório com HSTS habilitado.
- Senhas armazenadas com hash forte; nunca em texto claro.
- Row-Level Security ativa no banco de dados: cada usuário só acessa seus próprios dados.
- Cabeçalhos de segurança (CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy) aplicados em todas as rotas.
- Validação de uploads no servidor: tipo MIME e tamanho máximo por bucket.
3. Infraestrutura
A plataforma roda em provedores de infraestrutura reconhecidos, com backups automáticos, isolamento de ambientes (desenvolvimento, preview e produção) e monitoramento contínuo de disponibilidade e erros.
4. Prevenção de abuso
- Limites de taxa em endpoints sensíveis (auth, métricas, e-mail).
- Deduplicação de eventos por sessão para evitar inflação de métricas.
- Suspensão automática de contas com sinais de fraude ou abuso.
5. Modelo de responsabilidade compartilhada
A Vynko é responsável pela segurança da plataforma. Você é responsável por proteger sua senha, manter o e-mail de cadastro atualizado e não compartilhar credenciais. Sempre que possível, ative login social e use um gerenciador de senhas.
6. Reportar uma vulnerabilidade
Se você descobrir uma falha de segurança, agradecemos a divulgação responsável. Envie detalhes técnicos para security@usevynko.com. Pedimos que não explore a falha além do necessário para demonstrar o problema.
Nos comprometemos a responder em até 72 horas úteis e manter você informado sobre o progresso da correção.
7. Comunicação de incidentes
Em caso de incidente de segurança que afete dados pessoais, notificaremos os usuários impactados e as autoridades competentes nos prazos exigidos pela LGPD e GDPR.