Práticas de segurança
Última atualização: 14 de maio de 2026.Resumo dos controles de segurança que aplicamos hoje. Listamos apenas o que está realmente implementado — sem promessas que ainda não comprovamos.
Autenticação em dois fatores (MFA)
Suportamos MFA via aplicativo autenticador (TOTP). Administradores globais do produto têm MFA obrigatório desde o primeiro acesso. Proprietários de salão têm MFA fortemente recomendado com período de adoção; gestores, recepcionistas e profissionais podem ativar voluntariamente.
Controle de acesso por perfil
Cada usuário tem um perfil (proprietário, gestor, recepcionista, profissional) que define o que pode ver e modificar. Ações privilegiadas (gerir membros, alterar configurações sensíveis, exportações completas) são limitadas a perfis específicos.
Isolamento entre salões
Cada salão é um inquilino isolado. As consultas ao banco de dados aplicam Row-Level Security (RLS) para garantir que um salão NUNCA acesse dados de outro. O isolamento é aplicado no banco, não apenas na interface.
Auditoria e logs
Operações sensíveis (login, troca de senha, alterações de configuração, mudanças em clientes, envios de SMS, etc.) são registradas em um log de auditoria. Dados pessoais sensíveis em snapshots de auditoria são automaticamente redacted (substituídos por máscaras) antes do armazenamento.
Transporte e cookies
Todo o tráfego é HTTPS. Cookies de sessão são HttpOnly (inacessíveis a scripts) e Secure. Aplicamos Content-Security-Policy para mitigar injeção de scripts.
Reportar vulnerabilidades
Encontrou um problema de segurança? Reporte ao canal de suporte do produto com descrição reproduzível. Investigamos com prioridade e respondemos com plano de ação. Não use sistemas em produção para testar exploits.