AuraProvedor

Transparência técnica

Como protegemos seus dados

Não basta dizer “seguro”. Aqui descrevemos práticas técnicas concretas que aplicamos no Aura — de criptografia em trânsito até procedimento de incidente.

Transporte e armazenamento

  • HTTPS TLS 1.3

    Toda comunicação cliente-servidor cifrada. Sem fallback pra TLS 1.0/1.1.

  • HSTS habilitado

    Navegador é instruído a só aceitar HTTPS por 1 ano. Sem downgrade attack.

  • Certificados Let's Encrypt

    Renovação automática a cada 90 dias. Sempre cert válido.

  • Banco PostgreSQL 17

    Criptografia em repouso via disco encriptado da VPS.

  • Dados em território nacional

    Servidores hospedados no Brasil. Sem transferência internacional (CLOUD Act, Schrems II não aplicáveis).

Autenticação e acesso

  • Senhas com bcrypt 14 rounds

    Hash robusto, resistente a brute force até em GPU farm.

  • JWT com rotação

    Tokens de curta duração (7 dias parent, 365 dias device). Rotação opcional.

  • Rate limit em endpoints sensíveis

    Login: 30 tentativas/15min por IP. Bloqueia brute force sem punir usuário legítimo.

  • JWT secret independente do Operator JWT

    Admin/operador tem secret separado — comprometimento de um não escala pro outro.

Backup e recuperação

  • Backups diários cifrados

    pg_dump diário às 3:20 cifrado com age (ed25519). Chave privada custódia do administrador.

  • Off-site Telegram

    Backup encrypted enviado também via Telegram Bot privado (mesmo se VPS for invadido).

  • Retenção 30 dias + weekly

    30 dias daily + 4 semanas weekly. Cobre 5 semanas de janela de recuperação.

  • Verify diário do backup

    Script automático testa decryption de cada backup. Alerta no Telegram se corromper.

Auditoria e compliance

  • Audit log imutável

    Tabela consent_log registra cada acesso, login, mudança de plano, exclusão. Append-only.

  • Operator audit trail

    Toda ação admin (criar família, ler senha) gera entry com IP, user-agent, timestamp.

  • LGPD por design

    Plataforma desenhada com LGPD desde o início. DPO formalizado, ROPA atualizada, DPIA pra menores.

  • ANPD breach notification

    Procedimento documentado pra notificar ANPD em até 72h em caso de incidente.

Aplicativo Android (FG/Aura)

  • Assinatura ed25519

    APK assinado com keystore privada. Verificação de assinatura impede APK adulterado.

  • Cert pinning

    App só aceita certs do dominio oficial. Anti-MITM mesmo em redes corporativas.

  • FLAG_SECURE

    Tela do painel local não captura em screenshots/screen recording do filho.

  • Anti-tamper

    Tentativa de desinstalar/desabilitar dispara alerta no painel + exige senha do responsável.

Operacional

  • Atualizações regulares

    Sistema operacional, Node.js, dependências auditadas mensalmente (npm audit + Dependabot).

  • Monitor 24/7

    Health checks, uptime monitoring, alertas no Telegram pra DPO em caso de outage.

  • Princípio least privilege

    Cada processo roda com usuário dedicado. Não há root pra app. Postgres só aceita conexão localhost.

  • Segregação de dados

    Família X não vê família Y. Queries filtram por family_id em toda rota autenticada.

Encontrou uma vulnerabilidade?

Adotamos política de divulgação responsável. Se identificou falha de segurança, avise o nosso time antes de publicar publicamente. Respondemos em até 48h e pagamos recompensa pra vulnerabilidades críticas confirmadas (R$ 500 a R$ 5.000 dependendo da severidade).

security@aura-provedor.com.br

Última atualização: 11 de maio de 2026 · Próxima revisão: 11 de novembro de 2026. Política LGPD · Privacidade