Voltar

segurança / proteção de dados

Política de Segurança

Esta política resume as práticas de segurança aplicadas ao BotCodex, os cuidados esperados dos usuários e o fluxo de comunicação de vulnerabilidades e incidentes.

Última atualização: 25 de maio de 2026

1. Escopo

Esta política se aplica à landing page, checkout, login, área do cliente, painel administrativo, automação de autorização Codex, webhooks de pagamento, banco de dados, envio de e-mails transacionais e cookies usados pela plataforma.

O objetivo é reduzir risco de acesso indevido, exposição de dados, fraude, abuso de automação, perda de disponibilidade e uso não autorizado de contas gerenciadas.

2. Controles aplicados

Autenticação e sessão

Login validado no servidor, cookies de autenticação, sessão única por usuário, encerramento de sessão no logout e bloqueio quando a conta está ativa em outro dispositivo.

Proteção de segredos

Chaves sensíveis ficam restritas ao servidor. Credenciais operacionais de contas gerenciadas são criptografadas com chave dedicada e não são expostas no navegador.

Banco e integrações

Tabelas de aplicação usam RLS quando expostas a usuários autenticados. Integrações com Supabase, Asaas, OpenAI e e-mail são chamadas por rotas ou funções server-side.

Abuso e auditoria

A plataforma aplica validação de entrada, limitação de tentativas, token de webhook, histórico operacional, reprocessamento controlado e logs técnicos sem retorno de detalhes sensíveis ao usuário.

3. Segurança no checkout e pagamentos

O checkout coleta apenas os dados necessários para criar a cobrança e liberar o acesso: nome, e-mail, CPF ou CNPJ, forma de pagamento e identificadores de cobrança. O processamento financeiro é feito pelo Asaas, e o BotCodex registra status, referências e payloads minimizados para auditoria e liberação de acesso.

Webhooks exigem token de autenticação, limite de tamanho de payload, registro idempotente de eventos e tratamento seguro de erro para reduzir risco de fraude ou duplicidade.

4. Segurança na automação Codex

A URL de autorização e o callback são tratados como dados operacionais sensíveis. Eles devem ser usados apenas para concluir o fluxo Codex no ambiente do usuário. O histórico é mantido para acompanhamento, suporte, auditoria de limite semanal e reprocessamento em caso de falha técnica.

Não compartilhe URLs de autorização, callbacks, senha temporária ou acesso à sua caixa de e-mail. Em computadores compartilhados, finalize o uso com o botão de sair.

5. Responsabilidades do usuário

  • Usar e-mail e senha apenas em dispositivos confiáveis.
  • Não compartilhar credenciais, callback, links OAuth ou sessão.
  • Encerrar a sessão ao terminar, especialmente em máquinas de terceiros.
  • Comunicar suspeita de uso indevido, vazamento ou acesso não autorizado.
  • Não tentar burlar limites, automações, rate limits ou controles administrativos.

6. Vulnerabilidades

Relatos de vulnerabilidade devem ser enviados para acesso@noxia.app.br com descrição objetiva, impacto, passos de reprodução e evidências mínimas. Não inclua senhas, tokens reais de terceiros, dados pessoais de outros titulares ou dumps de banco.

Testes não autorizados de invasão, varreduras agressivas, engenharia social, negação de serviço, exploração destrutiva ou acesso a dados de terceiros não são permitidos.

7. Incidentes de segurança

Em caso de incidente confirmado com dados pessoais, avaliaremos natureza, categoria de dados, titulares afetados, risco, medidas de contenção e necessidade de comunicação. Quando houver risco ou dano relevante aos titulares, a comunicação seguirá a LGPD e a regulamentação vigente da ANPD.

O procedimento interno inclui triagem, contenção, preservação de evidências, correção da causa raiz, análise de impacto, comunicação aos envolvidos quando aplicável e registro das medidas adotadas.

8. Limites e transparência

Medidas de segurança reduzem riscos, mas não eliminam todos os cenários possíveis. A plataforma pode suspender acessos, revogar sessões, bloquear solicitações ou limitar recursos quando detectar abuso, risco, uso incompatível ou necessidade de proteção operacional.

Algumas informações técnicas de segurança não são divulgadas publicamente para preservar a proteção do ambiente, segredos comerciais e integridade da plataforma.

9. Referências regulatórias

10. Atualizações

Esta política pode ser atualizada para refletir novos controles, integrações, riscos, fornecedores, normas ou mudanças na arquitetura. A versão vigente ficará publicada nesta rota.

Esta página é uma política operacional de segurança e privacidade; a validação jurídica final deve confirmar dados empresariais, contratos com operadores e prazos formais de resposta.

Ver política de privacidade