1. Nosso compromisso com a segurança
Na Adstriq, a segurança não é um complemento — é um princípio fundamental integrado em cada camada da nossa arquitetura. Aplicamos uma estratégia de defesa em profundidade com múltiplas barreiras de segurança independentes, garantindo que nenhum ponto único de falha possa comprometer os dados dos nossos clientes.
2. Isolamento de dados multi-inquilino
Os dados de cada cliente são isolados no nível de banco de dados usando PostgreSQL Row-Level Security (RLS) com 79 políticas de aplicação em 28 tabelas. Cada consulta é automaticamente filtrada por ID de inquilino, injetado através de claims JWT assinados criptograficamente. Isso garante que mesmo no caso improvável de um bug na aplicação, um inquilino nunca possa acessar os dados de outro.
3. Criptografia
Todos os dados são criptografados em trânsito usando TLS 1.3 (HTTPS e WSS). Nossos domínios .app e .dev estão na lista HSTS Preload do Google, tornando impossíveis ataques de downgrade HTTP. Os cookies de autenticação são criptografados em repouso usando AES-GCM de 256 bits. O armazenamento do banco de dados utiliza a criptografia em repouso integrada do Supabase.
4. Autenticação e autorização
Utilizamos JSON Web Tokens ES256 (assimétricos) para toda a autenticação — o padrão mais robusto comparado ao HS256. A autenticação de dispositivos usa cookies HttpOnly, Secure e SameSite, tornando os tokens imunes a roubo por XSS. O login do dashboard é protegido pela verificação anti-bot Cloudflare Turnstile. Todas as entradas da API são validadas com schemas Zod antes de chegarem ao banco de dados.
5. Segurança de infraestrutura
A Adstriq opera na rede edge global da Cloudflare (mais de 330 cidades) com proteção DDoS integrada, e nosso proxy de API fornece limitação de taxa centralizada, guardas de tamanho de corpo e uma lista de bloqueio de dispositivos aplicada no edge. Todos os IPs do lado do servidor são injetados via CF-Connecting-IP (não falsificável), prevenindo falsificação de endereço IP.
6. Cabeçalhos de segurança
Todos os serviços da Adstriq aplicam um conjunto abrangente de cabeçalhos de segurança: Content-Security-Policy (estrita, sem unsafe-eval), HSTS com preload, X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy (strict-origin-when-cross-origin) e Permissions-Policy (câmera, microfone e geolocalização restritos).
7. Controle de acesso e auditoria
Cada operação de escrita gera uma entrada imutável no registro de auditoria com timestamp, ID de usuário, ID de inquilino, tipo de ação e referência de entidade. Os registros de auditoria são somente-adição e retidos por 90 dias em armazenamento ativo e 1 ano em armazenamento frio, em conformidade com ISO 27001 A.5.28. Dados sensíveis nunca são registrados — apenas IDs de entidades e metadados de ações.
8. Segurança da cadeia de suprimentos e CI/CD
Todas as dependências são fixadas e auditadas automaticamente. Nosso pipeline de CI executa pnpm audit como barreira obrigatória — builds com vulnerabilidades altas ou críticas são bloqueados antes da mesclagem. Todas as GitHub Actions usam versões fixadas por SHA para prevenir ataques à cadeia de suprimentos. Os mapas de código-fonte são removidos dos builds de produção.
9. Reporte de vulnerabilidades
Agradecemos a pesquisa de segurança responsável. Se você descobrir uma vulnerabilidade, por favor reporte para security@adstriq.com. Nos comprometemos a confirmar o recebimento do relatório em 48 horas e fornecer um cronograma de resolução em 5 dias úteis. Nosso arquivo /.well-known/security.txt fornece instruções de reporte legíveis por máquina conforme RFC 9116.