Postura geral
Mantemos práticas de segurança e privacidade alinhadas a padrões reconhecidos de mercado: OWASP ASVS, OWASP Top 10 e a LGPD. As aplicações passam por revisões técnicas periódicas e testes automatizados de vulnerabilidade. Vulnerabilidades identificadas são tratadas por severidade e retestadas após correção.
Esta página descreve nossa postura geral. Detalhes técnicos sensíveis (configurações específicas, IPs internos, vetores conhecidos) são mantidos confidenciais.
Criptografia em trânsito e em repouso
Em trânsito: todo tráfego entre cliente e servidor utiliza HTTPS com TLS 1.3/TLS 1.2, HSTS ativo, ciphers modernos com Forward Secrecy. Protocolos legados (SSL 2/3, TLS 1.0/1.1) permanecem desativados. Certificados são gerenciados e rotacionados automaticamente pela infraestrutura de borda — domínio público via AWS ACM/CloudFront, API via Let's Encrypt com renovação automatizada.
Configuração HTTPS validada periodicamente por ferramentas externas (Qualys SSL Labs); a validação mais recente classificou o domínio como A+. Esta evidência técnica não substitui auditorias, pentests ou certificações formais.
Em repouso: dados pessoais, financeiros, documentos, backups e relatórios são protegidos por criptografia em repouso. Dados sensíveis contam com criptografia em nível de aplicação e gerenciamento de chaves por serviço dedicado de AWS KMS, com segregação de acesso, controles administrativos e uso de chaves apropriadas conforme a criticidade do dado. Identificadores sensíveis, como CPF, não são armazenados em claro para fins de busca.
Evidências técnicas adicionais (algoritmos, política de chaves, segregação por categoria de dado) podem ser disponibilizadas mediante solicitação apropriada sob NDA. Detalhes operacionais sensíveis são mantidos em documentação interna de segurança.
Proteção de chaves criptográficas
As KMS keys utilizadas em processos críticos (cifragem de CPF, dados financeiros, logs de IA, notas de corretagem) são protegidas pelo AWS KMS, cujas KMS keys são armazenadas em HSMs validados em FIPS 140-3 Security Level 3. O material da chave não é exposto diretamente à aplicação; operações criptográficas e geração/uso de data keys são mediadas por chamadas autenticadas ao AWS KMS.
Para cifragem de CPF, dados financeiros e notas de corretagem usamos uma customer managed KMS key, sob nossa administração — política, rotação e permissões são gerenciadas por nós. Volumes EBS e buckets S3 gerais usam AWS managed keys (aws/ebs, aws/s3), cujo ciclo de vida é gerenciado pela AWS.
Acesso administrativo à customer managed KMS key é restrito ao IAM principal da operação, com MFA obrigatório.
Logs de auditoria
Logs críticos de auditoria são armazenados com criptografia, segregação de acesso, retenção definida e controles de integridade. Eventos de infraestrutura AWS são monitorados por CloudTrail, com validação de integridade quando aplicável. Eventos de pagamento têm retenção estendida para atender obrigações fiscais.
Categorias auditadas:
- Autenticação e gestão de sessão
- Pagamentos (webhooks de gateway)
- Geração de relatórios e documentos
- Assistente de IA (interações, compliance, custos)
- Eventos de segurança e prevenção de abuso
- Direitos LGPD (export, exclusão de conta, atualização de perfil)
Logs incluem timestamp, ator, origem, tipo de evento e metadados — com mascaramento automático de CPF e e-mail.
Controles de acesso
Aplicamos autenticação segura, senhas protegidas por hash forte, sessões com expiração curta, proteção contra CSRF em fluxos OAuth, controles de rate limiting por contexto, bloqueios temporários contra abuso e monitoramento de eventos suspeitos.
- 2FA TOTP opcional (RFC 6238, compatível com Google Authenticator, Authy, 1Password)
- Login social via OAuth com proteção CSRF
- Rate limiting por contexto (autenticação, pagamento, IA, leads, relatórios) com auditoria em cada bloqueio
- Bloqueio temporário automático em caso de tentativas anômalas
- Detecção e bloqueio de varredura automatizada
Thresholds, janelas de bloqueio e detalhes operacionais são mantidos em relatório técnico interno e disponibilizados sob NDA mediante solicitação.
Governança LGPD
Mantemos um programa de governança em privacidade alinhado à Lei nº 13.709/2018 (LGPD):
- Inventário de dados pessoais coletados com base legal documentada
- Política de privacidade pública detalhando finalidades, retenção e compartilhamentos
- Direitos dos titulares: acesso, correção, exclusão e portabilidade via canal interno
- Questionário de perfil inspirado em boas práticas de suitability — caráter educativo, sem caracterizar recomendação de investimento, consultoria de valores mobiliários ou intermediação financeira
- Mascaramento automático de PII em logs estruturados
- Criptografia de dados sensíveis em repouso, com chaves administradas em serviço dedicado
- Resposta a incidentes de segurança envolvendo dados pessoais com comunicação à ANPD e aos titulares afetados em até 3 dias úteis quando configurado risco/dano relevante (Resolução CD/ANPD 15/2024)
Detalhes completos em Política de Privacidade.
Divulgação responsável
Pesquisadores e usuários que identifiquem possíveis vulnerabilidades podem reportar por e-mail. Compromisso:
- Triagem em até 5 dias úteis
- Comunicação do status do reporte (válido / inválido / corrigido)
- Sem retaliação a quem reporte de boa fé
Escopo permitido:
- Testes não-destrutivos contra
eginafinancas.com.breapi.eginafinancas.com.br - Análise de configuração pública (TLS, headers, DNS)
- Revisão de respostas de API com conta própria
Escopo proibido:
- Negação de serviço (DoS / DDoS) ou degradação intencional
- Engenharia social contra colaboradores ou usuários
- Phishing contra usuários da plataforma
- Acesso a dados de outros usuários sem autorização explícita
- Exfiltração ou retenção de dados pessoais identificados durante testes
Atualmente operamos sem programa de bug bounty pago — reconhecimento público (com consentimento do pesquisador) é nosso retorno disponível.
Reportar vulnerabilidade ou dúvida de segurança
contato@eginafinancas.com.brVeja também o arquivo /.well-known/security.txt