Segurança — Liggup

Na Liggup, processamos gravações de ligações comerciais — dados sensíveis que não podem ser comprometidos. Segurança não é um item na lista: é uma premissa do produto.

Abaixo, detalhamos as camadas de proteção em vigor.

LGPD Compliant TLS 1.2+ em trânsito AES-256 em repouso Pagamentos PCI-DSS (Stripe) Backups diários SLA 99% de uptime

Pilares de segurança

🔐

Criptografia

Todos os dados em trânsito são protegidos por TLS 1.2 ou superior. Os dados em repouso — incluindo arquivos de áudio e transcrições — são criptografados com AES-256 no nível do banco de dados e do armazenamento de objetos.

🪪

Autenticação

Senhas são armazenadas exclusivamente como hashes bcrypt. Não temos acesso à sua senha em texto puro. Suportamos autenticação por sessão segura com proteção CSRF em todos os formulários.

🏢

Isolamento por tenant

Cada organização opera em um espaço de dados completamente isolado. É impossível que um cliente acesse os dados de outro por meio da plataforma.

🎭

Controle de acesso

Modelo de permissões por papel (RBAC): gestores e agentes têm acesso apenas ao que precisam. Administradores podem revogar acessos imediatamente pela área de configurações.

📋

Logs de auditoria

Todas as ações relevantes (login, alteração de scorecard, exportação de dados) são registradas em logs de auditoria com timestamp, IP e usuário responsável.

💾

Backups

Backups automáticos do banco de dados são realizados diariamente, com retenção de 30 dias. Os arquivos de áudio são armazenados com redundância geográfica no provedor de nuvem.

Infraestrutura e fornecedores

Nossa infraestrutura é construída sobre provedores de nível enterprise, cada um com suas próprias certificações de segurança:

Banco de dados — Supabase (PostgreSQL)

Banco de dados gerenciado com criptografia em repouso habilitada por padrão.
Conexões exigem SSL/TLS obrigatório.
Acesso restrito por Row Level Security (RLS) no nível do banco.
Backups point-in-time com retenção de 7 dias no tier gratuito, 30+ dias no pago.

Aplicação — Vercel / Servidor dedicado

Deploy isolado por ambiente (produção, staging).
Variáveis de ambiente sensíveis (chaves Stripe, OpenAI) nunca expostas ao frontend.
HTTPS obrigatório em todos os domínios.

Pagamentos — Stripe

Dados de cartão nunca passam pelos servidores da Liggup.
Processamento PCI-DSS Level 1, a certificação mais alta do setor.
Tokenização de cartões via Stripe Elements (interface hospedada pelo Stripe).

Análise de linguagem — OpenAI

Áudios são enviados via API segura (HTTPS) exclusivamente para transcrição e análise.
Operamos com o contrato de processamento de dados (DPA) da OpenAI, com garantias de não utilização dos dados para treinamento de modelos.
Não enviamos dados de identificação pessoal desnecessários nas chamadas à API.

Desenvolvimento seguro

Proteções em nível de aplicação

CSRF: todos os formulários POST contêm tokens CSRF para evitar requisições falsificadas.
SQL Injection: utilizamos o ORM Django com queries parametrizadas — sem concatenação manual de SQL.
XSS: o template engine Django escapa automaticamente variáveis no HTML.
Clickjacking: header X-Frame-Options: DENY habilitado.
Rate limiting: endpoints de login possuem proteção contra tentativas de força bruta.
Secure cookies: cookies de sessão configurados com HttpOnly, Secure e SameSite=Lax.

Processo de atualizações

Dependências verificadas automaticamente por ferramentas de análise de vulnerabilidades.
Patches de segurança críticos aplicados em até 48 horas após publicação.
Atualizações não-críticas seguem o ciclo regular de releases.

Gestão de incidentes

Em caso de incidente de segurança que resulte em exposição de dados pessoais:

0–4 horas: Contenção

Identificação, isolamento e contenção do incidente. Avaliação do escopo de dados afetados.

4–24 horas: Análise

Investigação da causa raiz, identificação de clientes afetados e avaliação do risco.

24–72 horas: Notificação

Comunicação aos clientes afetados por e-mail, detalhando o que ocorreu, dados envolvidos e ações tomadas. Notificação à ANPD quando exigido por lei.

Pós-incidente: Remediação

Implementação de correções, revisão de controles e publicação de relatório post-mortem para clientes afetados.

Sua responsabilidade como cliente

A segurança é uma responsabilidade compartilhada. O Cliente é responsável por:

Manter senhas fortes e únicas para cada usuário da conta.
Revogar acessos imediatamente quando um membro da equipe deixar a empresa.
Não compartilhar credenciais de acesso entre usuários.
Garantir que os dispositivos usados para acessar a Liggup estejam protegidos (antivírus, atualizações de SO).
Reportar imediatamente qualquer atividade suspeita em sua conta.

🔍 Notou algo suspeito na plataforma? Envie para seguranca@liggup.com.br. Relatórios de vulnerabilidades são recebidos com gratidão.

Divulgação responsável (Responsible Disclosure)

Se você descobrir uma vulnerabilidade de segurança na plataforma Liggup, agradecemos o reporte responsável:

Envie os detalhes para seguranca@liggup.com.br com o assunto "Vulnerabilidade — [breve descrição]".
Inclua passos para reproduzir, impacto potencial e, se possível, uma prova de conceito.
Não divulgue publicamente antes de recebermos sua comunicação e termos um prazo razoável para corrigir.
Nos comprometemos a responder em até 72 horas e a trabalhar com você para corrigir o problema.

Não aplicamos sanções legais a pesquisadores de segurança que agirem de boa-fé e dentro dessas diretrizes.

Perguntas sobre segurança?

Nossa equipe de segurança está disponível para responder dúvidas de clientes e parceiros sobre nossas práticas.

Contatar equipe de segurança

Segurança na Liggup