Por isso a segurança não é um recurso — é a fundação. Construímos seguindo as boas práticas das ISO 27001, 27701, 42001 e da LGPD — desde o primeiro dia, antes mesmo dos selos.
Somos uma startup. As certificações ISO 27001, 27701 e 42001 são auditorias externas caras e demoradas, e ainda não as temos. Seria fácil estampar um selo bonito aqui — escolhemos a verdade.
O que fazemos desde a primeira linha de código: implementamos as boas práticas dessas normas e da LGPD, porque ser responsável com o dinheiro e os dados de quem confia na gente é inegociável — é o mínimo, não um diferencial. Conforme crescermos, vamos atrás de cada certificação formal; quando conquistarmos uma, ela aparece aqui, datada. Pra gente, segurança é compromisso — não é marketing.
Os controles destas normas já estão na fundação do produto — a prática é desde o dia um. O selo formal vem com o tempo, como explicamos acima.
RLS em 100% das tabelas, MFA para admin, TLS 1.3 + AES-256, audit trail imutável, backup diário com teste de restore, segregação de deveres.
Consentimento com registro, direitos do titular (acesso, correção, exclusão, portabilidade), DPO designado, sub-processadores documentados, retenção e purge automáticos.
Cada recomendação marcada e auditada, human-in-the-loop em decisões financeiras, seus dados nunca treinam modelos, zero data retention na IA.
Política de privacidade, canal do titular, exportar/excluir meus dados, mapa de dados, retenção definida, plano de incidentes.
O módulo pessoal do dono é criptografado e isolado de forma que nem o nosso time de suporte acessa. Confiança Zero: tudo é verificado, nada é confiado implicitamente.
Toda query filtrada por RLS no Postgres — não no frontend.
Cada acesso e cada decisão de IA fica registrado.
Dados de cartão nunca tocam nosso servidor (PCI via gateway).