Arquitetura de segurança
O que o svdy realmente faz para proteger seus dados, hoje. Nenhuma alegação de certificação que ainda não conquistamos. Cronologia SOC 2 ao vivo em /trust/soc2; lista completa de suboperadores em /trust/sub-processors.
Segurança da infraestrutura
Controles concretos operando em produção:
• Deployment AWS Multi-AZ em us-east-1 — RDS Postgres com replicação síncrona, ECS Fargate em múltiplas Availability Zones, S3 com replicação cross-AZ. Meta arquitetural: 99,95% de uptime.
• Criptografia em trânsito: TLS 1.2+ em cada endpoint público (svdy.com / qutime.com / pureoa.com / id.svdy.com / api.svdy.com), com elegibilidade HSTS preload e apenas suítes de cifra modernas. Tráfego interno entre serviços também apenas TLS.
• Criptografia em repouso: AES-256 em RDS, S3 e volumes EBS; gerenciada via chaves AWS KMS com acesso auditado. Segredos criptografados pelo cliente (tokens OAuth, URLs de webhook de integração) usam Fernet (AES-128-CBC + HMAC-SHA256) sobre a criptografia de disco.
• Isolamento de rede: sem endpoints RDS / Redis públicos — servidores de aplicação alcançam bancos de dados via subnets privados de VPC e regras de Security Group; acesso bastion é JIT apenas com logging de auditoria.
• Gerenciamento de segredos: credenciais de produção vivem em AWS Secrets Manager, nunca em código-fonte ou arquivos de ambiente. Runbooks de rotação documentados; rotação de chaves é um marco SOC 2 Fase 2.
Proteção de dados
O que acontece com seus dados, ponta a ponta:
• Isolamento multi-tenant: cada query de banco de dados é escopada por organization_id na camada ORM; testes de integração verificam que queries cross-tenant não retornam linhas. Sem acesso SQL bruto para código de aplicação.
• Logging de auditoria: cada mutação administrativa (criar / atualizar / excluir colaborador, escala, registro de presença, mudança de cobrança) é registrada com ator, alvo, valores antes/depois, endereço IP e timestamp. Retenção depende do nível: 7 dias (Free) / 1 ano (Starter+) / 3 anos (Pro+).
• Backups: snapshots automatizados RDS diariamente, retidos por 30 dias; recuperação point-in-time para qualquer segundo dentro da janela de retenção. Restaurações testadas trimestralmente conforme runbook de recuperação de desastres.
• Fluxo de direito ao apagamento: solicitações de exclusão GDPR / LGPD / CCPA fluem por /admin/identity/users — anonimiza PII de colaboradores (nome, e-mail, telefone, template biométrico) preservando registros de presença agregados que o controlador (sua organização) precisa para conformidade trabalhista. Veja Política de Privacidade §4 para o mecanismo completo.
• Dados biométricos (reconhecimento facial para ponto): coletados apenas quando um colaborador consente explicitamente no primeiro uso (Art. 9(2)(a) do GDPR). Templates faciais são armazenados como hashes unidirecionais — a imagem original nunca é retida. Administradores de organização podem desativar reconhecimento facial globalmente em Regras de Presença; o consentimento pode ser retirado a qualquer momento no perfil do colaborador.
Segurança operacional
Como executamos segurança como uma função:
• Prática de engenharia: cada mudança de código passa por revisão de pull request com pelo menos um revisor aprovador. Mudanças relevantes para segurança (auth, criptografia, IAM) requerem um revisor designado de segurança adicional.
• Gerenciamento de dependências: Python via Poetry com versões travadas; JavaScript via lockfile Bun. Dependências vulneráveis são expostas via GitHub Dependabot e tratadas por ordem de prioridade.
• Controle de acesso: acesso de produção é somente leitura por padrão; acesso de escrita requer um ticket de mudança documentado. O offboarding de engenheiros revoga todo acesso em até 24 horas após a saída.
• Resposta a incidentes: um runbook interno cobre identificação → contenção → erradicação → recuperação → revisão pós-incidente. Incidentes Severidade 1 acionam um compromisso de notificação ao cliente em 24 horas (Política de Privacidade §6).
• Revisão de segurança de fornecedores: cada suboperador adicionado (atualmente 5 listados em /trust/sub-processors) passa por uma revisão documentada — DPA em vigor, questionário de segurança revisado, escopo de dados minimizado.
Certificações e atestados
Comprometemo-nos com um roadmap público e datado em vez de alegações retroativas. Progresso ao vivo:
• SOC 2 Type II — META Q1 2027. Ainda não certificado. Vanta + A-LIGN selecionados (decisão registrada em 2026-05-24). Cronologia pública de 8 marcos em /trust/soc2; relatório emitido Q3 2027.
• Arquitetura pronta para GDPR — auditoria de privacidade Wave 1-4 concluída (minimização de dados, direito ao apagamento, portas de consentimento, processamento biométrico sob Art. 9). Não certificada formalmente por um regulador (GDPR não tem órgão de certificação formal); fornecemos nosso DPA mediante solicitação em /trust/dpa.
• ISO 27001 — AINDA NÃO ENGAJADO. Pode seguir SOC 2 em 2027 ou 2028 dependendo da demanda de clientes enterprise da UE.
• Específicos da indústria (HIPAA / PCI-DSS / FedRAMP) — NÃO ESTÁ NO ESCOPO hoje. svdy mira gestão de força de trabalho de SMB; PHI healthcare / dados de portadores de cartão / cargas de trabalho do governo federal estão fora do nosso caso de uso até serem explicitamente adicionados.
Precisa preencher um questionário de segurança, conduzir uma due diligence de fornecedor ou reportar uma vulnerabilidade? Envie e-mail para security@svdy.com — confirmamos em 1 dia útil e respondemos em 3.
