Voltar para a home

Segurança

Última atualização: 24 de maio de 2026

A confiança de quem utiliza a GoAventura é nosso maior compromisso. Esta página descreve, em linguagem acessível, as práticas adotadas para proteger informações pessoais, garantir a integridade das transações financeiras e assegurar a continuidade do serviço.

1. Infraestrutura e ambiente operacional

A GoAventura é operada sobre infraestrutura de provedores reconhecidos no mercado — em especial Vercel (hospedagem da aplicação) e Supabase (banco de dados PostgreSQL sobre AWS) — sujeitos a auditorias independentes e certificações internacionais (incluindo, conforme a documentação pública de cada fornecedor, SOC 2 Type II e ISO/IEC 27001). Os ambientes de produção e de homologação (staging) são isolados, com bases de dados distintas. Há monitoramento contínuo de erros via Sentry, controles de acesso baseados em função e registros de auditoria administrativa. A relação completa de fornecedores está em Subprocessadores.

2. Proteção dos dados

  • Comunicação criptografada em trânsito por meio de protocolos modernos (TLS).
  • Criptografia de dados em repouso nos sistemas de armazenamento utilizados.
  • Tokens de bots (WhatsApp/Instagram) e credenciais sensíveis recebem camada adicional de criptografia em repouso (AES-256-GCM) antes de serem persistidos no banco.
  • Política de senha segura e mecanismos de autenticação reforçada via Clerk.
  • Cookies de sessão configurados com atributos de segurança apropriados (HttpOnly, Secure, SameSite).
  • Cabeçalhos de segurança no tráfego HTTP em conformidade com boas práticas (CSP, HSTS, X-Content-Type-Options).

3. Pagamentos

As transações financeiras são processadas exclusivamente por instituição de pagamento autorizada pelo Banco Central do Brasil (Pagar.me/Stone), certificada no padrão PCI-DSS. A GoAventura não armazena dados completos de cartão de crédito (PAN, código de segurança ou autenticação 3-D Secure): a tokenização ocorre no navegador do cliente, diretamente entre o navegador e a infraestrutura do processador. A confirmação de pagamento e o repasse de valores às empresas parceiras seguem fluxos automatizados, com validação criptográfica das notificações (webhooks) recebidas.

4. Controle de acesso

  • Cada usuário acessa apenas as informações relacionadas à sua própria conta ou empresa, com isolamento garantido por verificações em todas as operações.
  • As funções dentro de uma mesma empresa são segmentadas por papel (proprietário e colaborador), restringindo recursos sensíveis — como configurações financeiras e gestão de equipe — a quem possui autorização.
  • Eventuais acessos administrativos para suporte técnico ocorrem em modo restrito (impersonation auditada), com registro completo das ações e bloqueio de operações sensíveis (exclusão de conta, alteração de chave Pix), em alinhamento à LGPD.

5. Defesas operacionais

  • Limites de taxa (rate limiting) em endpoints sensíveis para mitigar abuso e ataques automatizados.
  • Validação de entrada em todas as operações que recebem dados do usuário (esquemas Zod).
  • Verificação de tipo, tamanho e formato de arquivos em uploads.
  • Tratamento adequado de saída para mitigação de vulnerabilidades comuns (OWASP Top 10).
  • Acesso ao banco de dados realizado por meio de consultas parametrizadas (Prisma), prevenindo injeção de SQL.
  • Verificação de assinatura criptográfica em webhooks recebidos do processador de pagamentos e plataformas de mensagens.

6. Continuidade e recuperação

Backups periódicos das informações críticas são realizados automaticamente pelo provedor do banco de dados, com políticas de retenção compatíveis com as obrigações legais e operacionais da plataforma. Procedimentos de recuperação são revisados regularmente para assegurar a restauração tempestiva do serviço em cenários adversos.

7. Reporte responsável de vulnerabilidades

Pesquisadores de segurança, clientes ou parceiros que identificarem possíveis falhas devem reportar de forma responsável ao endereço seguranca@goaventura.app. Pedimos a observância das seguintes condutas:

  • Não explorar a vulnerabilidade além do mínimo necessário para demonstrá-la.
  • Não acessar, alterar, transferir ou apagar dados de terceiros.
  • Conceder prazo razoável (recomendamos 90 dias) para correção antes de qualquer divulgação pública.

Reconheceremos publicamente, mediante autorização prévia, pesquisadores que contribuírem para a melhoria contínua da segurança da plataforma.

8. Comunicação de incidentes

Caso identifiquemos um incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme exige o art. 48 da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), informando a natureza dos dados envolvidos, os riscos identificados e as medidas adotadas.

9. Atualizações

As práticas descritas evoluem com a plataforma e com o cenário de ameaças. Mudanças relevantes serão refletidas nesta página, mantendo-se sempre o objetivo de assegurar o tratamento adequado de dados e a proteção dos usuários.