Segurança

Criptografia

• TLS 1.2+ em todas as chamadas de API e interfaces web.
• Criptografia em repouso nos volumes de banco e storage de anexos.
• Segredos em cofre dedicado, rotacionados periodicamente.

Isolamento por cliente

• Cada cliente opera em contêiner Docker isolado, com limites de CPU/memória e escopo de rede restrito.
• Dados de cliente não atravessam fronteiras de contêiner. Nenhum modelo vê simultaneamente dados de clientes distintos.
• Chaves e credenciais por tenant, nunca compartilhadas entre contas.

Controle de acesso

• Autenticação multifator para operadores humanos.
• Papéis com privilégio mínimo (princípio do menor privilégio).
• Logs de auditoria imutáveis em rotas sensíveis (admin, exportação, alteração de configuração).
• Acesso de operador registrado com identidade, escopo e janela de tempo.

IA e conteúdo do cliente

• Conteúdo do cliente nunca é usado para treinar modelos de IA genéricos.
• Inferências de IA são processadas dentro do escopo da sessão do cliente, com retenção limitada.
• Quando provedores terceiros de IA são usados, exigimos contratos com cláusulas de não-treino e prazo de retenção curto.

Backup e continuidade

• Backups criptografados diários, retidos por 30 dias, com restauração testada.
• Plano de continuidade documentado para falha de provedor único.
• Monitoramento contínuo de saúde (gateway, backend, ingest, WhatsApp, cloudflared).

Resposta a incidentes

Incidentes de segurança são comunicados ao cliente afetado em até 72 horas, com descrição da extensão, dados envolvidos, causa raiz identificada e plano de remediação. Incidentes que envolvam dados pessoais são comunicados também à ANPD.

Contato para reporte: security@gojoana.com.br

Responsible disclosure

Se você encontrou uma vulnerabilidade, nos escreva em security@gojoana.com.br. Pedimos que aguarde nossa confirmação antes de divulgar publicamente, para que possamos proteger os usuários afetados. Não movemos ações legais contra pesquisadores que seguirem essa política de boa-fé.