Pular para o conteúdo principal
Voltar para a pagina inicial

Segurança, privacidade e compliance

Trust Center

Visão técnica sobre práticas de segurança, privacidade, infraestrutura, banco de dados, controles de acesso e roadmap de compliance da Avosi.

Ultima atualizacao: 2 de julho de 2026

1. Escopo do Trust Center

Este Trust Center consolida os principais controles técnicos, organizacionais e de governança adotados ou planejados pela Avosi para proteção de dados, segurança da informação, continuidade operacional e conformidade regulatória.

O escopo contempla o site institucional, futuras aplicações móveis, APIs, formulários, fluxos de suporte, integrações com provedores de infraestrutura, banco de dados, serviços de inteligência artificial e processos internos relacionados ao tratamento de dados pessoais.

As informações abaixo descrevem a arquitetura de referência e os controles em evolução. Certificações, auditorias independentes e atestados formais somente serão declarados quando estiverem concluídos e verificáveis.

2. Cobertura de segurança e privacidade

A Avosi adota uma abordagem de security by design e privacy by design, com foco em minimização de dados, segregação de acesso, rastreabilidade, retenção proporcional e tratamento transparente de informações de usuários, familiares, contatos de suporte e interessados na solução.

  • Proteção de dados pessoais conforme princípios da LGPD, incluindo finalidade, necessidade, transparência, segurança e prestação de contas.
  • Controles técnicos para reduzir exposição indevida de imagens, textos, mensagens, áudios, identificadores de dispositivo e metadados operacionais.
  • Avaliação de fornecedores e subprocessadores que possam atuar em hospedagem, autenticação, banco de dados, analytics, pagamentos, atendimento ou processamento de IA.
  • Documentação progressiva de políticas internas de segurança, privacidade, resposta a incidentes, gestão de acessos e retenção de dados.

3. Security Highlights

  • Criptografia em trânsito com HTTPS/TLS nas interfaces públicas e integrações que suportem transporte seguro.
  • Controle de acesso baseado em menor privilégio para contas administrativas, chaves de serviço, ambientes e integrações sensíveis.
  • Row Level Security (RLS) no Supabase como mecanismo de restrição granular de acesso a registros por contexto de usuário, função e escopo operacional.
  • Separação lógica entre camadas de frontend, backend, banco de dados e serviços externos, reduzindo acoplamento e superfície de ataque.
  • Registro de eventos relevantes para auditoria, troubleshooting, prevenção a abuso e investigação de incidentes, observando minimização e retenção adequada.
  • Revisão de dependências, atualizações de segurança e práticas de desenvolvimento seguro no ciclo de entrega.
  • Canal dedicado para solicitações de privacidade e segurança pelo e-mail privacidade@avosi.com.br.

4. Infraestrutura e Arquitetura em Azure

A arquitetura da Avosi adota Azure como referência de infraestrutura para hospedagem, observabilidade, segregação de ambientes, governança de identidades e controles de rede, conforme a evolução do produto e da escala operacional.

Os componentes de infraestrutura devem ser configurados para reduzir privilégios amplos, isolar ambientes, centralizar logs críticos e permitir resposta operacional rápida sem comprometer dados pessoais além do necessário.

  • Segregação de ambientes de desenvolvimento, homologação e produção, evitando uso de dados reais fora de bases autorizadas.
  • Uso preferencial de serviços gerenciados, políticas de acesso, monitoramento, alertas e logs de plataforma para reduzir risco operacional.
  • Planejamento de controles de rede, secrets management, hardening de serviços expostos e revisão periódica de permissões administrativas.
  • Observabilidade orientada a disponibilidade, latência, erros, eventos de autenticação, uso anômalo e sinais de segurança.
  • Processo de mudanças com versionamento, revisão, rollback quando aplicável e evidências técnicas para trilhas futuras de auditoria.

5. Banco de dados e Supabase Row Level Security (RLS)

A camada de dados utiliza ou prevê Supabase/PostgreSQL como banco relacional, com Row Level Security (RLS) para restringir operações de leitura e escrita no nível de linha, de acordo com identidade, papel, vínculo de conta e finalidade do acesso.

O uso de RLS não substitui controles de aplicação, mas atua como uma barreira adicional para reduzir risco de exposição entre usuários, famílias, contas, fluxos de suporte e operações internas.

  • Políticas RLS por tabela crítica para limitar SELECT, INSERT, UPDATE e DELETE ao contexto autorizado.
  • Chaves service role restritas a ambientes backend controlados, sem exposição em frontend, repositório público ou clientes móveis.
  • Migrations versionadas, revisão de alterações de schema e controle de permissões para evitar escalonamento indevido.
  • Backups, estratégias de restauração e retenção compatíveis com requisitos legais, operacionais e de segurança.
  • Auditoria de operações sensíveis, acessos administrativos e alterações relevantes em dados pessoais quando tecnicamente aplicável.

6. Direitos do usuário segundo a LGPD

A Avosi reconhece os direitos dos titulares previstos na Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e mantém canal para recebimento, triagem, validação de identidade e resposta a solicitações relacionadas a dados pessoais.

  • Confirmação da existência de tratamento e acesso aos dados pessoais.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  • Portabilidade, informação sobre compartilhamento e revisão de decisões automatizadas quando aplicável.
  • Revogação de consentimento, oposição a tratamento irregular e esclarecimentos sobre bases legais utilizadas.
  • Solicitações devem ser encaminhadas para privacidade@avosi.com.br com informações suficientes para confirmação segura da identidade do titular.

7. Controle de acesso e identidade

O modelo de identidade e acesso da Avosi é orientado por menor privilégio, separação de funções e rastreabilidade, reduzindo acesso amplo a dados pessoais, ambientes produtivos e configurações críticas.

  • RBAC para separar papéis administrativos, suporte, operação, desenvolvimento e integrações de serviço.
  • Autenticação forte e MFA para contas privilegiadas sempre que suportado pelos provedores utilizados.
  • Revisões periódicas de acesso, remoção de contas inativas e revogação de permissões após mudança de função ou desligamento.
  • Proibição de compartilhamento de credenciais e preferência por identidades nominativas para trilha de auditoria.
  • Sessões, tokens e chaves com escopo reduzido, rotação planejada e armazenamento fora do código-fonte.

8. Criptografia, segredos e proteção de dados

  • Criptografia em trânsito por TLS para tráfego web e APIs públicas.
  • Criptografia em repouso conforme recursos nativos dos provedores de infraestrutura, banco de dados e armazenamento utilizados.
  • Gerenciamento de segredos por variáveis de ambiente, cofres ou recursos equivalentes, evitando credenciais em repositórios e builds públicos.
  • Redução de dados coletados e mascaramento ou limitação de informações sensíveis em logs, analytics e ferramentas de suporte.
  • Política de rotação de chaves, revisão de credenciais e resposta a exposição acidental como parte do roadmap de segurança.

9. Desenvolvimento seguro e gestão de vulnerabilidades

A Avosi mantém práticas de Secure SDLC para reduzir falhas antes da publicação, combinando revisão de código, atualização de dependências, análise de mudanças e correções priorizadas por risco.

  • Code review para alterações relevantes de segurança, autenticação, privacidade, pagamentos, banco de dados e integrações.
  • Monitoramento de dependências vulneráveis e atualização de pacotes conforme criticidade e impacto operacional.
  • Validação de entradas, tratamento de erros e padrões defensivos para reduzir riscos de injeção, exposição de dados e abuso de APIs.
  • Planejamento de SAST, DAST, scanning de infraestrutura e testes de intrusão periódicos como parte da maturidade de compliance.
  • Classificação de vulnerabilidades por severidade, probabilidade, impacto em titulares e prioridade de remediação.

10. Incidentes, continuidade e disponibilidade

  • Processo de resposta a incidentes com etapas de identificação, contenção, erradicação, recuperação, comunicação e lições aprendidas.
  • Critérios de severidade para eventos envolvendo disponibilidade, integridade, confidencialidade, fraude, abuso, dados pessoais ou fornecedores críticos.
  • Backups, restauração e retenção alinhados ao risco do dado, criticidade do serviço e obrigações legais aplicáveis.
  • Comunicação a titulares, clientes, parceiros, autoridades ou ANPD quando exigido pela legislação e pela avaliação de risco do incidente.
  • Pós-incidente com registro de causa raiz, impacto, ações corretivas e melhorias preventivas.

11. Terceiros, subprocessadores e inteligência artificial

A Avosi pode utilizar provedores especializados para infraestrutura, banco de dados, autenticação, analytics, pagamentos, atendimento, comunicação e processamento de inteligência artificial. Esses provedores devem ser avaliados conforme criticidade, tipo de dado tratado e maturidade de segurança.

  • Contratos, termos de tratamento de dados e obrigações de confidencialidade quando aplicável.
  • Minimização de dados enviados a subprocessadores e restrição de acesso ao necessário para prestação do serviço.
  • Revisão de permissões, chaves, integrações e logs associados a fornecedores críticos.
  • Uso de IA como apoio informativo e educacional, sem substituir validação humana ou canais oficiais em decisões sensíveis.
  • Avaliação contínua de riscos de privacidade, retenção, transferência internacional e tratamento automatizado.

12. Roadmap de Segurança e Compliance

A Avosi possui roadmap de segurança e compliance em andamento para elevar maturidade de governança, controles internos e evidências auditáveis. Este roadmap não representa certificação vigente de SOC 2 ou ISO 27001 até a conclusão formal de auditorias e processos independentes aplicáveis.

  • SOC 2 em andamento: mapeamento de controles, matriz de riscos, políticas, evidências operacionais, monitoramento contínuo e preparação para auditoria futura.
  • ISO 27001 em andamento: estruturação do Sistema de Gestão de Segurança da Informação (SGSI), inventário de ativos, avaliação de riscos, plano de tratamento e governança documental.
  • Formalização de políticas de segurança, privacidade, controle de acesso, gestão de incidentes, continuidade, fornecedores e desenvolvimento seguro.
  • Ampliação de logs de auditoria, revisão periódica de permissões, automação de retenção de dados e testes de restauração.
  • Planejamento de testes de intrusão, avaliação de vulnerabilidades, treinamento interno e simulações de resposta a incidentes.

13. Contato de segurança e privacidade

Dúvidas técnicas, solicitações de privacidade, exercício de direitos LGPD ou comunicações relacionadas à segurança podem ser enviadas para privacidade@avosi.com.br.

Assuntos comerciais, suporte geral e contato institucional podem ser direcionados para contato@avosi.com.br. Relatos de vulnerabilidade devem incluir descrição técnica, escopo afetado, passos de reprodução quando possível e informações de contato do reportante.