Segurança, privacidade e compliance
Trust Center
Visão técnica sobre práticas de segurança, privacidade, infraestrutura, banco de dados, controles de acesso e roadmap de compliance da Avosi.
Ultima atualizacao: 2 de julho de 2026
1. Escopo do Trust Center
Este Trust Center consolida os principais controles técnicos, organizacionais e de governança adotados ou planejados pela Avosi para proteção de dados, segurança da informação, continuidade operacional e conformidade regulatória.
O escopo contempla o site institucional, futuras aplicações móveis, APIs, formulários, fluxos de suporte, integrações com provedores de infraestrutura, banco de dados, serviços de inteligência artificial e processos internos relacionados ao tratamento de dados pessoais.
As informações abaixo descrevem a arquitetura de referência e os controles em evolução. Certificações, auditorias independentes e atestados formais somente serão declarados quando estiverem concluídos e verificáveis.
2. Cobertura de segurança e privacidade
A Avosi adota uma abordagem de security by design e privacy by design, com foco em minimização de dados, segregação de acesso, rastreabilidade, retenção proporcional e tratamento transparente de informações de usuários, familiares, contatos de suporte e interessados na solução.
- Proteção de dados pessoais conforme princípios da LGPD, incluindo finalidade, necessidade, transparência, segurança e prestação de contas.
- Controles técnicos para reduzir exposição indevida de imagens, textos, mensagens, áudios, identificadores de dispositivo e metadados operacionais.
- Avaliação de fornecedores e subprocessadores que possam atuar em hospedagem, autenticação, banco de dados, analytics, pagamentos, atendimento ou processamento de IA.
- Documentação progressiva de políticas internas de segurança, privacidade, resposta a incidentes, gestão de acessos e retenção de dados.
3. Security Highlights
- Criptografia em trânsito com HTTPS/TLS nas interfaces públicas e integrações que suportem transporte seguro.
- Controle de acesso baseado em menor privilégio para contas administrativas, chaves de serviço, ambientes e integrações sensíveis.
- Row Level Security (RLS) no Supabase como mecanismo de restrição granular de acesso a registros por contexto de usuário, função e escopo operacional.
- Separação lógica entre camadas de frontend, backend, banco de dados e serviços externos, reduzindo acoplamento e superfície de ataque.
- Registro de eventos relevantes para auditoria, troubleshooting, prevenção a abuso e investigação de incidentes, observando minimização e retenção adequada.
- Revisão de dependências, atualizações de segurança e práticas de desenvolvimento seguro no ciclo de entrega.
- Canal dedicado para solicitações de privacidade e segurança pelo e-mail privacidade@avosi.com.br.
4. Infraestrutura e Arquitetura em Azure
A arquitetura da Avosi adota Azure como referência de infraestrutura para hospedagem, observabilidade, segregação de ambientes, governança de identidades e controles de rede, conforme a evolução do produto e da escala operacional.
Os componentes de infraestrutura devem ser configurados para reduzir privilégios amplos, isolar ambientes, centralizar logs críticos e permitir resposta operacional rápida sem comprometer dados pessoais além do necessário.
- Segregação de ambientes de desenvolvimento, homologação e produção, evitando uso de dados reais fora de bases autorizadas.
- Uso preferencial de serviços gerenciados, políticas de acesso, monitoramento, alertas e logs de plataforma para reduzir risco operacional.
- Planejamento de controles de rede, secrets management, hardening de serviços expostos e revisão periódica de permissões administrativas.
- Observabilidade orientada a disponibilidade, latência, erros, eventos de autenticação, uso anômalo e sinais de segurança.
- Processo de mudanças com versionamento, revisão, rollback quando aplicável e evidências técnicas para trilhas futuras de auditoria.
5. Banco de dados e Supabase Row Level Security (RLS)
A camada de dados utiliza ou prevê Supabase/PostgreSQL como banco relacional, com Row Level Security (RLS) para restringir operações de leitura e escrita no nível de linha, de acordo com identidade, papel, vínculo de conta e finalidade do acesso.
O uso de RLS não substitui controles de aplicação, mas atua como uma barreira adicional para reduzir risco de exposição entre usuários, famílias, contas, fluxos de suporte e operações internas.
- Políticas RLS por tabela crítica para limitar SELECT, INSERT, UPDATE e DELETE ao contexto autorizado.
- Chaves service role restritas a ambientes backend controlados, sem exposição em frontend, repositório público ou clientes móveis.
- Migrations versionadas, revisão de alterações de schema e controle de permissões para evitar escalonamento indevido.
- Backups, estratégias de restauração e retenção compatíveis com requisitos legais, operacionais e de segurança.
- Auditoria de operações sensíveis, acessos administrativos e alterações relevantes em dados pessoais quando tecnicamente aplicável.
6. Direitos do usuário segundo a LGPD
A Avosi reconhece os direitos dos titulares previstos na Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e mantém canal para recebimento, triagem, validação de identidade e resposta a solicitações relacionadas a dados pessoais.
- Confirmação da existência de tratamento e acesso aos dados pessoais.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade, informação sobre compartilhamento e revisão de decisões automatizadas quando aplicável.
- Revogação de consentimento, oposição a tratamento irregular e esclarecimentos sobre bases legais utilizadas.
- Solicitações devem ser encaminhadas para privacidade@avosi.com.br com informações suficientes para confirmação segura da identidade do titular.
7. Controle de acesso e identidade
O modelo de identidade e acesso da Avosi é orientado por menor privilégio, separação de funções e rastreabilidade, reduzindo acesso amplo a dados pessoais, ambientes produtivos e configurações críticas.
- RBAC para separar papéis administrativos, suporte, operação, desenvolvimento e integrações de serviço.
- Autenticação forte e MFA para contas privilegiadas sempre que suportado pelos provedores utilizados.
- Revisões periódicas de acesso, remoção de contas inativas e revogação de permissões após mudança de função ou desligamento.
- Proibição de compartilhamento de credenciais e preferência por identidades nominativas para trilha de auditoria.
- Sessões, tokens e chaves com escopo reduzido, rotação planejada e armazenamento fora do código-fonte.
8. Criptografia, segredos e proteção de dados
- Criptografia em trânsito por TLS para tráfego web e APIs públicas.
- Criptografia em repouso conforme recursos nativos dos provedores de infraestrutura, banco de dados e armazenamento utilizados.
- Gerenciamento de segredos por variáveis de ambiente, cofres ou recursos equivalentes, evitando credenciais em repositórios e builds públicos.
- Redução de dados coletados e mascaramento ou limitação de informações sensíveis em logs, analytics e ferramentas de suporte.
- Política de rotação de chaves, revisão de credenciais e resposta a exposição acidental como parte do roadmap de segurança.
9. Desenvolvimento seguro e gestão de vulnerabilidades
A Avosi mantém práticas de Secure SDLC para reduzir falhas antes da publicação, combinando revisão de código, atualização de dependências, análise de mudanças e correções priorizadas por risco.
- Code review para alterações relevantes de segurança, autenticação, privacidade, pagamentos, banco de dados e integrações.
- Monitoramento de dependências vulneráveis e atualização de pacotes conforme criticidade e impacto operacional.
- Validação de entradas, tratamento de erros e padrões defensivos para reduzir riscos de injeção, exposição de dados e abuso de APIs.
- Planejamento de SAST, DAST, scanning de infraestrutura e testes de intrusão periódicos como parte da maturidade de compliance.
- Classificação de vulnerabilidades por severidade, probabilidade, impacto em titulares e prioridade de remediação.
10. Incidentes, continuidade e disponibilidade
- Processo de resposta a incidentes com etapas de identificação, contenção, erradicação, recuperação, comunicação e lições aprendidas.
- Critérios de severidade para eventos envolvendo disponibilidade, integridade, confidencialidade, fraude, abuso, dados pessoais ou fornecedores críticos.
- Backups, restauração e retenção alinhados ao risco do dado, criticidade do serviço e obrigações legais aplicáveis.
- Comunicação a titulares, clientes, parceiros, autoridades ou ANPD quando exigido pela legislação e pela avaliação de risco do incidente.
- Pós-incidente com registro de causa raiz, impacto, ações corretivas e melhorias preventivas.
11. Terceiros, subprocessadores e inteligência artificial
A Avosi pode utilizar provedores especializados para infraestrutura, banco de dados, autenticação, analytics, pagamentos, atendimento, comunicação e processamento de inteligência artificial. Esses provedores devem ser avaliados conforme criticidade, tipo de dado tratado e maturidade de segurança.
- Contratos, termos de tratamento de dados e obrigações de confidencialidade quando aplicável.
- Minimização de dados enviados a subprocessadores e restrição de acesso ao necessário para prestação do serviço.
- Revisão de permissões, chaves, integrações e logs associados a fornecedores críticos.
- Uso de IA como apoio informativo e educacional, sem substituir validação humana ou canais oficiais em decisões sensíveis.
- Avaliação contínua de riscos de privacidade, retenção, transferência internacional e tratamento automatizado.
12. Roadmap de Segurança e Compliance
A Avosi possui roadmap de segurança e compliance em andamento para elevar maturidade de governança, controles internos e evidências auditáveis. Este roadmap não representa certificação vigente de SOC 2 ou ISO 27001 até a conclusão formal de auditorias e processos independentes aplicáveis.
- SOC 2 em andamento: mapeamento de controles, matriz de riscos, políticas, evidências operacionais, monitoramento contínuo e preparação para auditoria futura.
- ISO 27001 em andamento: estruturação do Sistema de Gestão de Segurança da Informação (SGSI), inventário de ativos, avaliação de riscos, plano de tratamento e governança documental.
- Formalização de políticas de segurança, privacidade, controle de acesso, gestão de incidentes, continuidade, fornecedores e desenvolvimento seguro.
- Ampliação de logs de auditoria, revisão periódica de permissões, automação de retenção de dados e testes de restauração.
- Planejamento de testes de intrusão, avaliação de vulnerabilidades, treinamento interno e simulações de resposta a incidentes.
13. Contato de segurança e privacidade
Dúvidas técnicas, solicitações de privacidade, exercício de direitos LGPD ou comunicações relacionadas à segurança podem ser enviadas para privacidade@avosi.com.br.
Assuntos comerciais, suporte geral e contato institucional podem ser direcionados para contato@avosi.com.br. Relatos de vulnerabilidade devem incluir descrição técnica, escopo afetado, passos de reprodução quando possível e informações de contato do reportante.