Controles e práticas de segurança

• Hospedagem em Vercel (EUA) e banco de dados gerenciado Neon Postgres com replicação e backups contínuos (point-in-time recovery).
• Conexões TLS 1.2+ em trânsito com sslmode=require para todas as conexões ao banco de dados.
• Criptografia em repouso provida pelo provedor de banco (AES-256).
• Isolamento por tenant: cada empresa cliente possui dados segregados lógica e fisicamente via row-level tenant scoping aplicado em 100% das queries.

• Senhas armazenadas com bcrypt (fator de custo 10+), nunca em texto claro.
• Rate limiting em endpoints sensíveis (login: 5 tentativas por 15 minutos; AI: 30 req/min).
• Sessões gerenciadas via NextAuth com JWT assinado (HS256) e expiração de 8 horas.
• Controle de acesso baseado em papéis (RBAC): SUPER_ADMIN, ADMIN, GESTOR, COLABORADOR — com permissões granulares por módulo e escopo (TODOS / TIME / PROPRIO).
• Auditoria de ações sensíveis em tabela LogAuditoria (criação, alteração, exclusão, login).

• Base legal para tratamento: execução de contrato com cliente corporativo + legítimo interesse para gestão de pessoas.
• Titulares podem exercer direitos de acesso, correção e exclusão através da área “Minha Conta” no próprio sistema.
• Exclusão de conta executa anonimização irreversível dos dados pessoais (LGPD Art. 17 / Art. 18, VI), preservando registros históricos estritamente anonimizados para fins de auditoria.
• Encarregado de dados (DPO): dpo@integraassociados.com.br.

• Rastreamento de erros em tempo real via Sentry (erros server-side, client-side e performance).
• Logs estruturados de requisições e ações sensíveis, com retenção mínima de 90 dias.
• Alertas automáticos para incidentes críticos enviados à equipe de plantão.

• Dependências monitoradas via Dependabot / npm audit; patches de segurança aplicados em até 7 dias (14 dias para severidade alta).
• Revisão de código obrigatória antes de deploy em produção.
• Testes de vulnerabilidade periódicos planejados em 2026 como parte do roadmap de certificação SOC 2 Tipo II.

• Registros de ponto imutáveis após gravação (ajustes preservam o registro original via auditoria).
• Retenção mínima de 5 anos conforme a Portaria.
• Geração do arquivo AFD (Arquivo Fonte de Dados) sob demanda.
• Assinatura HMAC em uploads de selfie + geolocalização para garantir integridade.

• Backups contínuos do banco via point-in-time recovery (até 7 dias no plano atual; 30 dias no plano enterprise).
• Snapshots diários com retenção configurável por cliente.
• SLA de disponibilidade alvo: 99.9%.

• ✔ LGPD — em conformidade.
• ✔ Portaria 671/2021 — em conformidade.
• ○ SOC 2 Tipo II — em processo (previsão 2026/2).
• ○ ISO/IEC 27001 — avaliação inicial em 2026.

Encontrou uma possível vulnerabilidade? Envie um e-mail para seguranca@integraassociados.com.br com descrição, passos para reprodução e impacto estimado. Nos comprometemos a responder em até 72 horas úteis.