Segurança

Controles técnicos e organizacionais implementados.

Controles implementados

TLS 1.3
Todas as comunicações API e WhatsApp
Row Level Security (RLS)
Cada cliente vê apenas seus próprios dados no banco
Guard Brasil (PII masking)
CPF/CNPJ/email/telefone mascarados antes de qualquer IA externa
API Keys rotacionadas
Rotação semestral; cada cliente tem chave isolada
Logs sem PII
Apenas IDs tokenizados nos logs de aplicação
Gitleaks em pre-commit
Secrets escaneados antes de cada commit
Backup automático
30 dias de retenção de backups do banco
ISO 27001 (Hetzner)
Data center certificado
🔄
Pentest externo
Previsto para Q3/2026 conforme crescimento
ℹ️
SOC 2 Type II
Não aplicável neste estágio (< 10 clientes pagos)

✅ Implementado · 🔄 Em progresso · ℹ️ N/A neste estágio

Arquitetura de isolamento

Tenant isolation

Cada cliente (tenant) tem seu próprio namespace na base de conhecimento. RLS no Postgres garante que queries de um tenant não retornem dados de outro — mesmo em caso de bug no código de aplicação.

Guard Brasil pipeline

Todo texto que vai para LLMs externos passa pelo Guard Brasil primeiro. 16+ padrões de PII detectados e substituídos por tokens: [CPF_1], [EMAIL_2]. O contexto semântico é preservado; os dados, não.

WhatsApp

Evolution API roda no próprio VPS (self-hosted). Mensagens nunca passam por servidores de terceiros — apenas pela rede WhatsApp → Evolution API → EGOS Gateway.

Responsabilidade e incidentes

Em caso de incidente de segurança que afete dados pessoais:

  • • Notificamos o titular afetado em até 72h (LGPD art. 48)
  • • Notificamos a ANPD quando necessário
  • • Publicamos post-mortem transparente nesta página

Para reportar uma vulnerabilidade: security@egos.ia.br