Segurança e Compliance

Como protegemos conhecimento operacional e dados sensíveis da sua empresa

Resumo Rápido

Stepyo usa criptografia AES-256, é LGPD-compliant, e utiliza OAuth 2.0 para integrações. Dados ficam isolados por workspace com Row Level Security no Supabase (infraestrutura no Brasil).

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
  • LGPD-compliant - dados armazenados no Brasil (Supabase São Paulo)
  • OAuth 2.0 para Slack/HubSpot - zero senhas armazenadas
  • Row Level Security (RLS) - isolamento total por workspace
  • Rate limiting e autenticação em 100% dos endpoints de API
  • Security headers A+ (HSTS, CSP, Referrer-Policy)

Criptografia

  • TLS 1.3 para dados em trânsito
  • AES-256 para dados em repouso
  • Certificados SSL/TLS renovados automaticamente

Compliance

  • LGPD-compliant - dados no Brasil
  • Infraestrutura Supabase (São Paulo)
  • SOC 2 Type II (em processo)

Autenticação Segura

  • OAuth 2.0 para Slack/HubSpot
  • Zero senhas armazenadas
  • Tokens revogáveis a qualquer momento

Isolamento de Dados

  • Row Level Security (RLS) no banco
  • Workspaces completamente isolados
  • Permissões granulares por usuário

Rate Limiting

  • Proteção contra abuso em todos os endpoints de IA
  • Limites por usuário via Redis
  • Autenticação obrigatória em todas as APIs

CI/CD Seguro

  • Secret scanning automatizado em commits
  • GitHub Actions pinadas por SHA
  • Dependabot para vulnerabilidades

Security Headers

  • HSTS com preload habilitado
  • CSP, X-Content-Type-Options, Referrer-Policy
  • Permissions-Policy restritivo

Gestão de Secrets

  • Doppler para centralização de secrets
  • Zero secrets em código-fonte
  • Rotação periódica de tokens

Quem Tem Acesso aos Dados?

Você controla tudo

Dados do seu workspace são acessíveis APENAS por membros autorizados da sua empresa. O Stepyo utiliza Row Level Security (RLS) no Supabase para garantir isolamento total entre workspaces.

Níveis de permissão

  • OWNERAcesso total + gerenciamento de membros
  • ADMINCriar/editar processos + configurações
  • MEMBERVisualizar e executar processos

Time Stepyo

Nosso time NÃO tem acesso aos seus dados operacionais. Apenas logs técnicos anonimizados para debugging (sem conteúdo sensível). Qualquer acesso para suporte requer autorização explícita.

Integrações Seguras

OAuth 2.0 (Zero Senhas)

Todas integrações (Slack, HubSpot) usam OAuth 2.0 - o padrão da indústria para autenticação segura.

  • Você autoriza via interface oficial (Slack/HubSpot)
  • Stepyo NUNCA vê sua senha
  • Tokens podem ser revogados a qualquer momento
  • Permissões granulares (você escolhe o que compartilhar)

O que capturamos de cada integração?

SLACK

Apenas threads em canais autorizados que contêm conhecimento operacional (troubleshooting, workarounds). Mensagens privadas NUNCA são acessadas.

HUBSPOT

Workflows de CS/Sales que você executa enquanto a extension está ativa. Dados de clientes não são armazenados (apenas screenshots visuais do processo).

Infraestrutura

Onde seus dados ficam?

Utilizamos Supabase (região São Paulo, Brasil) como backend:

  • Dados armazenados no Brasil (LGPD-compliant)
  • PostgreSQL com Row Level Security (RLS)
  • Backups automáticos diários
  • Redundância e alta disponibilidade (99.9% uptime)

Monitoramento e Logs

Mantemos logs técnicos anonimizados para debugging e segurança. Logs são retidos por 30 dias e não contêm dados sensíveis de clientes.

Reportar Vulnerabilidade de Segurança

Se você identificou uma vulnerabilidade de segurança, por favor nos contate imediatamente:

[email protected](resposta em 24h)