Pular para o conteúdo principal

Visão Geral

O Wave Connect leva a segurança muito a sério. Implementamos práticas de segurança alinhadas com os padrões do setor em infraestrutura, desenvolvimento de aplicações, gerenciamento de acesso e operações internas para proteger seus dados e as informações da sua equipe. Para mais detalhes, acesse security.wavecnct.com.

Conformidade e Certificações

CertificaçãoDetalhes
SOC 2 Tipo IICertificado. Relatório disponível mediante NDA — entre em contato com security@wavecnct.com
CSA STAR Nível 1Listado no registro STAR da Cloud Security Alliance
GDPRTotalmente em conformidade. Acordo de Processamento de Dados disponível para clientes enterprise
EU AI ActEm conformidade com os requisitos aplicáveis
Padrões de segurança seguidos (não certificados, mas alinhados):
  • OWASP Top 10
  • CSA CAIQ
  • Benchmarks CIS
  • Práticas alinhadas ao NIST

Infraestrutura

A infraestrutura do Wave é construída sobre serviços de nuvem gerenciados, operando sob um modelo de responsabilidade compartilhada com nossos provedores.
ProvedorFunção
Google Cloud PlatformInfraestrutura de aplicação principal, computação e rede
VercelEntrega de frontend e rede de borda
PlanetScaleBanco de dados (compatível com MySQL, distribuído globalmente)
Cloud StorageArmazenamento de arquivos e ativos
A infraestrutura é projetada para alta disponibilidade com failover automático. Todos os provedores mantêm suas próprias certificações de segurança independentes (SOC 2, ISO 27001).

Residência de Dados

  • Os dados de aplicação dos clientes são armazenados e processados nos Estados Unidos
  • Os dados são processados apenas em regiões aprovadas
  • Clientes Enterprise podem consultar sobre opções de residência de dados
Uma lista completa de subprocessadores está disponível em nosso Acordo de Processamento de Dados.

Criptografia

Em trânsito
  • TLS 1.3 para todas as conexões
  • HTTPS aplicado em todos os endpoints
  • HSTS habilitado
Em repouso
  • Criptografia AES-256 para todos os dados armazenados
  • Chaves de criptografia gerenciadas em nuvem via Google Cloud KMS
  • Rotação de chaves e controles de acesso aplicados pelo Secret Manager

Gerenciamento de Identidade e Acesso

Opções de autenticação
  • Single Sign-On SAML 2.0
  • OpenID Connect (OIDC)
  • Provisionamento e desprovisionamento automatizados via SCIM 2.0
Autenticação multifator
  • Aplicada pelo seu provedor SSO quando SAML ou OIDC está habilitado
Controle de acesso baseado em funções
FunçãoAcesso
ProprietárioAcesso total à conta, incluindo cobrança e gerenciamento de plano
AdministradorGerenciar usuários, templates, contatos e configurações
GerenteGerenciar leads de equipe e distribuir templates, sem configurações globais da empresa
MembroUsar o cartão de visita digital atribuído e ver seus próprios contatos
VisualizadorAcesso somente leitura
Privilégio mínimo
  • Todo o acesso interno segue o princípio de privilégio mínimo
  • Revisões de acesso trimestrais realizadas internamente
  • Desprovisionamento automatizado via SCIM quando usuários saem

Segurança de Senhas

  • Requisitos mínimos de comprimento e complexidade de senha aplicados
  • Bloqueio de conta após tentativas de login repetidamente falhas
  • Redefinição segura de senha via e-mail verificado
  • Timeout de sessão aplicado por inatividade

Segurança da Aplicação

Ciclo de vida de desenvolvimento seguro
  • Modelagem de ameaças como parte do design de funcionalidades
  • Revisão de código por pares obrigatória e aprovação de pull request antes de mesclar
  • Requisitos de segurança revisados em cada versão
  • Processo dedicado de aprovação de versão
Análise estática e varredura
  • Análise estática CodeQL em todas as alterações de código
  • Varredura automatizada de vulnerabilidades de dependências
  • Varredura de segredos para evitar vazamento de credenciais no código
Práticas de codificação segura
  • Diretrizes OWASP Top 10 seguidas
  • Validação de entrada e codificação de saída aplicadas
  • Atualizações de dependências aplicadas regularmente

Gerenciamento de Vulnerabilidades

Varredura
  • Varredura contínua automatizada de dependências
  • Varredura de vulnerabilidades de infraestrutura
Prazos de correção
SeveridadeMeta de remediação
Crítica24 horas
Alta7 dias
Média30 dias
Baixa90 dias
Teste de penetração
  • Teste de penetração independente por terceiros realizado anualmente
  • As descobertas são triadas e remediadas de acordo com os prazos por severidade

Monitoramento e Logs

Logs coletados incluem:
  • Eventos de autenticação (login, logout, tentativas falhas)
  • Ações administrativas (alterações de usuário, atualizações de configurações)
  • Atividade de API
  • Eventos de segurança
Monitoramento
  • Monitoramento 24/7 de infraestrutura em nuvem via Google Cloud Monitoring
  • Alertas automatizados sobre anomalias e eventos de segurança
  • Detecção de logins suspeitos

Resposta a Incidentes

O Wave mantém um Plano de Resposta a Incidentes formal cobrindo:
  • Classificação de severidade: Crítica, Alta, Média, Baixa
  • Processo de investigação: contenção, análise e preservação de evidências
  • Análise de causa raiz: revisão pós-incidente para todos os eventos significativos
  • Notificação de clientes: os clientes afetados são notificados prontamente de acordo com os requisitos regulatórios
  • Notificação regulatória: notificações de violação GDPR em até 72 horas quando aplicável
  • Post-mortems: documentados e revisados internamente após incidentes graves
Para reportar uma vulnerabilidade de segurança, entre em contato com security@wavecnct.com.

Continuidade de Negócios e Backups

Objetivos de recuperação
  • RTO (Recovery Time Objective): 4 horas
  • RPO (Recovery Point Objective): 1 hora
Plano de Continuidade de Negócios
  • BCP formal em vigor e testado semestralmente
  • Plano de Recuperação de Desastres testado regularmente
Backups
  • Backups automatizados diários
  • Backups criptografados em repouso
  • Testes de restauração realizados regularmente
  • Retenção de backups alinhada com as políticas de classificação de dados

Disponibilidade

  • Arquitetura de alta disponibilidade com failover automático
  • Página de status disponível em status.wavecnct.com
  • SLA disponível para clientes Enterprise

Segurança de Rede

  • Google Cloud Firewall e Cloud Armor
  • Mitigação de DDoS nas camadas de rede e aplicação
  • Limitação de taxa em todos os endpoints da API
  • Proteções alinhadas ao OWASP (injeção, XSS, CSRF)
  • Sistemas de detecção e prevenção de intrusão (IDS/IPS)

Segurança de Endpoints

Todos os dispositivos dos funcionários estão sujeitos a:
  • Criptografia de disco completo
  • Política de dispositivos gerenciados pela empresa
  • Antivírus e proteção de endpoint
  • Atualizações automáticas de sistema operacional e segurança
  • Bloqueio de tela obrigatório
  • Requisitos mínimos de dispositivo para acesso remoto

Segurança Física

O Wave é uma empresa 100% remota. Não há data centers on-premises. A segurança física da infraestrutura é gerenciada pelo Google Cloud, cujos data centers são certificados de forma independente para ISO 27001, SOC 2 e outros padrões. Os funcionários seguem requisitos de home office seguro, e os dispositivos são descartados com segurança ao fim da vida útil.

Segurança dos Funcionários

  • Verificação de antecedentes realizada para todos os funcionários
  • Treinamento de conscientização de segurança no onboarding
  • Treinamento trimestral de segurança e privacidade
  • Política de Uso Aceitável assinada por todos os funcionários
  • Acordos de confidencialidade em vigor

Segurança de Fornecedores

O Wave mantém um Programa de Gestão de Risco de Fornecedores. Os provedores terceirizados são avaliados antes do onboarding com base em sua postura de segurança (relatórios SOC 2, questionários de segurança e avaliações de fornecedores). Principais subprocessadores
FornecedorFinalidade
Google CloudInfraestrutura e computação
VercelFrontend e entrega de borda
PlanetScaleBanco de dados
TwilioComunicações SMS
StripeProcessamento de pagamentos
ShopifyComércio eletrônico
ZendeskSuporte ao cliente
MicrosoftProdutividade e integrações
MaxMindGeolocalização por IP
Lista completa de subprocessadores disponível em nosso Acordo de Processamento de Dados.

Segurança de IA

O Wave usa IA nos seguintes recursos:
  • Scanner Universal de Crachás: OCR para extrair informações de contato de cartões de visita e crachás de eventos
  • Enriquecimento de contatos: preenchimento de campos de perfil ausentes a partir de fontes públicas
  • Moderação de conteúdo: detecção de conteúdo que viola as políticas nos perfis
Declarações principais:
  • Os dados dos clientes não são usados para treinar modelos de IA
  • Os recursos de IA podem ser desativados quando aplicável
  • Os provedores de IA são divulgados na nossa lista de subprocessadores

Classificação de Dados

ClassificaçãoDescrição
PúblicoConteúdo de marketing, documentação pública
InternoDados operacionais, comunicações internas
ConfidencialDados de clientes, dados comerciais, configurações de segurança
RestritoCredenciais de autenticação, chaves de criptografia, logs de auditoria

Proteção de Dados

  • Isolamento lógico de tenant: os dados de cada organização são separados nos níveis de aplicação e banco de dados
  • Controle de acesso baseado em funções impede acesso a dados entre tenants
  • Log de auditoria para todas as operações sensíveis
  • Princípios de minimização de dados aplicados na coleta

Recursos de Segurança Enterprise

Single Sign-On (SAML)

Autentique usuários pelo seu provedor de identidade via SAML 2.0 ou OIDC.

Sincronização de Diretório (SCIM)

Automatize o provisionamento, desprovisionamento e mapeamento de equipes de usuários.

Domínios Personalizados

Use seu próprio domínio para perfis e links de compartilhamento do Wave.