Práticas de Segurança

1. Criptografia em nível bancário

Todos os dados que você confia à Kairos são protegidos por criptografia em nível bancário, tanto enquanto trafegam pela internet quanto enquanto ficam armazenados nos nossos servidores. Credenciais e segredos sensíveis nunca circulam em texto plano — ficam em cofres dedicados com acesso auditado.

2. Isolamento de dados entre clientes

O isolamento entre estabelecimentos é garantido na infraestrutura com defesa em profundidade. Nenhum dado de um cliente é visível para outro, mesmo em cenários extremos de falha de aplicação. Cada release passa por uma bateria automatizada de testes específicos para garantir esse isolamento antes de chegar à produção.

3. Autenticação robusta

Acesso à plataforma é protegido por autenticação moderna com sessões de curta duração, senhas armazenadas com hashes de uso comprovado no setor financeiro e proteções contra força bruta. Toda ação privilegiada é auditada com rastro completo de quem executou e quando.

4. Backup automatizado e redundante

Realizamos backups automatizados com redundância geográfica e retenção segura. Restaurações são testadas periodicamente em ambiente isolado para garantir que, caso o pior aconteça, sua operação volta a rodar em horas — não dias.

5. Auditorias contínuas

Cada alteração de código passa por análise automatizada com ferramentas líderes de mercado em busca de vulnerabilidades e problemas de dependência, antes do merge. Revisão por pares é obrigatória, logs são monitorados em tempo real, e acessos à produção são restritos e auditados.

6. Infraestrutura global de referência

A Kairos roda sobre uma infraestrutura suportada por parceiros referência mundial: DigitalOcean para computação, Cloudflare para borda, mitigação de ataques e armazenamento, e Resend para entrega transacional de e-mails. Cada um deles é líder na sua categoria, com certificações internacionais e equipes de segurança dedicadas.

7. Conformidade legal

Atendemos integralmente à LGPD (Lei 13.709/2018) — veja a Política de Privacidade & LGPD — e respeitamos o Marco Civil da Internet quanto à retenção de registros de acesso. Também seguimos as políticas oficiais da Meta Plataforma para envio de mensagens via WhatsApp Business.

8. Disclosure responsável (Bug bounty)

Pesquisadores de segurança são bem-vindos. Se você identificou uma vulnerabilidade, reporte de forma privada para [email protected] (ou [email protected] como fallback). Comprometemo-nos a:

• Confirmar o recebimento em até 48 horas;
• Avaliar o impacto e propor mitigação em até 7 dias úteis;
• Reconhecer pesquisadores que reportarem de boa-fé (hall of fame), respeitando pedidos de anonimato.

Pedimos que evite testes que afetem a disponibilidade do serviço, que não acesse dados de outros tenants e que respeite o prazo de 90 dias antes de divulgação pública.