> ## Documentation Index > Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt > Use this file to discover all available pages before exploring further. # Segurança > Práticas de segurança, certificações e conformidade do Wave Connect ## Visão Geral O Wave Connect leva a segurança muito a sério. Implementamos práticas de segurança alinhadas com os padrões do setor em infraestrutura, desenvolvimento de aplicações, gerenciamento de acesso e operações internas para proteger seus dados e as informações da sua equipe. Para mais detalhes, acesse [security.wavecnct.com](https://security.wavecnct.com). *** ## Conformidade e Certificações | Certificação | Detalhes | | -------------------- | --------------------------------------------------------------------------------------------------------------------------- | | **SOC 2 Tipo II** | Certificado. Relatório disponível mediante NDA — entre em contato com [security@wavecnct.com](mailto:security@wavecnct.com) | | **CSA STAR Nível 1** | Listado no registro STAR da Cloud Security Alliance | | **GDPR** | Totalmente em conformidade. Acordo de Processamento de Dados disponível para clientes enterprise | | **EU AI Act** | Em conformidade com os requisitos aplicáveis | **Padrões de segurança seguidos** (não certificados, mas alinhados): * OWASP Top 10 * CSA CAIQ * Benchmarks CIS * Práticas alinhadas ao NIST *** ## Infraestrutura A infraestrutura do Wave é construída sobre serviços de nuvem gerenciados, operando sob um modelo de responsabilidade compartilhada com nossos provedores. | Provedor | Função | | ------------------------- | -------------------------------------------------------------- | | **Google Cloud Platform** | Infraestrutura de aplicação principal, computação e rede | | **Vercel** | Entrega de frontend e rede de borda | | **PlanetScale** | Banco de dados (compatível com MySQL, distribuído globalmente) | | **Cloud Storage** | Armazenamento de arquivos e ativos | A infraestrutura é projetada para alta disponibilidade com failover automático. Todos os provedores mantêm suas próprias certificações de segurança independentes (SOC 2, ISO 27001). *** ## Residência de Dados * Os dados de aplicação dos clientes são armazenados e processados nos **Estados Unidos** * Os dados são processados apenas em regiões aprovadas * Clientes Enterprise podem consultar sobre opções de residência de dados Uma lista completa de subprocessadores está disponível em nosso [Acordo de Processamento de Dados](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Criptografia **Em trânsito** * TLS 1.3 para todas as conexões * HTTPS aplicado em todos os endpoints * HSTS habilitado **Em repouso** * Criptografia AES-256 para todos os dados armazenados * Chaves de criptografia gerenciadas em nuvem via Google Cloud KMS * Rotação de chaves e controles de acesso aplicados pelo Secret Manager *** ## Gerenciamento de Identidade e Acesso **Opções de autenticação** * Single Sign-On SAML 2.0 * OpenID Connect (OIDC) * Provisionamento e desprovisionamento automatizados via SCIM 2.0 **Autenticação multifator** * Aplicada pelo seu provedor SSO quando SAML ou OIDC está habilitado **Controle de acesso baseado em funções** | Função | Acesso | | ----------------- | -------------------------------------------------------------------------------------- | | **Proprietário** | Acesso total à conta, incluindo cobrança e gerenciamento de plano | | **Administrador** | Gerenciar usuários, templates, contatos e configurações | | **Gerente** | Gerenciar leads de equipe e distribuir templates, sem configurações globais da empresa | | **Membro** | Usar o cartão de visita digital atribuído e ver seus próprios contatos | | **Visualizador** | Acesso somente leitura | **Privilégio mínimo** * Todo o acesso interno segue o princípio de privilégio mínimo * Revisões de acesso trimestrais realizadas internamente * Desprovisionamento automatizado via SCIM quando usuários saem *** ## Segurança de Senhas * Requisitos mínimos de comprimento e complexidade de senha aplicados * Bloqueio de conta após tentativas de login repetidamente falhas * Redefinição segura de senha via e-mail verificado * Timeout de sessão aplicado por inatividade *** ## Segurança da Aplicação **Ciclo de vida de desenvolvimento seguro** * Modelagem de ameaças como parte do design de funcionalidades * Revisão de código por pares obrigatória e aprovação de pull request antes de mesclar * Requisitos de segurança revisados em cada versão * Processo dedicado de aprovação de versão **Análise estática e varredura** * Análise estática CodeQL em todas as alterações de código * Varredura automatizada de vulnerabilidades de dependências * Varredura de segredos para evitar vazamento de credenciais no código **Práticas de codificação segura** * Diretrizes OWASP Top 10 seguidas * Validação de entrada e codificação de saída aplicadas * Atualizações de dependências aplicadas regularmente *** ## Gerenciamento de Vulnerabilidades **Varredura** * Varredura contínua automatizada de dependências * Varredura de vulnerabilidades de infraestrutura **Prazos de correção** | Severidade | Meta de remediação | | ---------- | ------------------ | | Crítica | 24 horas | | Alta | 7 dias | | Média | 30 dias | | Baixa | 90 dias | **Teste de penetração** * Teste de penetração independente por terceiros realizado anualmente * As descobertas são triadas e remediadas de acordo com os prazos por severidade *** ## Monitoramento e Logs **Logs coletados incluem:** * Eventos de autenticação (login, logout, tentativas falhas) * Ações administrativas (alterações de usuário, atualizações de configurações) * Atividade de API * Eventos de segurança **Monitoramento** * Monitoramento 24/7 de infraestrutura em nuvem via Google Cloud Monitoring * Alertas automatizados sobre anomalias e eventos de segurança * Detecção de logins suspeitos *** ## Resposta a Incidentes O Wave mantém um Plano de Resposta a Incidentes formal cobrindo: * **Classificação de severidade**: Crítica, Alta, Média, Baixa * **Processo de investigação**: contenção, análise e preservação de evidências * **Análise de causa raiz**: revisão pós-incidente para todos os eventos significativos * **Notificação de clientes**: os clientes afetados são notificados prontamente de acordo com os requisitos regulatórios * **Notificação regulatória**: notificações de violação GDPR em até 72 horas quando aplicável * **Post-mortems**: documentados e revisados internamente após incidentes graves Para reportar uma vulnerabilidade de segurança, entre em contato com [security@wavecnct.com](mailto:security@wavecnct.com). *** ## Continuidade de Negócios e Backups **Objetivos de recuperação** * RTO (Recovery Time Objective): 4 horas * RPO (Recovery Point Objective): 1 hora **Plano de Continuidade de Negócios** * BCP formal em vigor e testado semestralmente * Plano de Recuperação de Desastres testado regularmente **Backups** * Backups automatizados diários * Backups criptografados em repouso * Testes de restauração realizados regularmente * Retenção de backups alinhada com as políticas de classificação de dados *** ## Disponibilidade * Arquitetura de alta disponibilidade com failover automático * Página de status disponível em [status.wavecnct.com](https://status.wavecnct.com) * SLA disponível para clientes Enterprise *** ## Segurança de Rede * Google Cloud Firewall e Cloud Armor * Mitigação de DDoS nas camadas de rede e aplicação * Limitação de taxa em todos os endpoints da API * Proteções alinhadas ao OWASP (injeção, XSS, CSRF) * Sistemas de detecção e prevenção de intrusão (IDS/IPS) *** ## Segurança de Endpoints Todos os dispositivos dos funcionários estão sujeitos a: * Criptografia de disco completo * Política de dispositivos gerenciados pela empresa * Antivírus e proteção de endpoint * Atualizações automáticas de sistema operacional e segurança * Bloqueio de tela obrigatório * Requisitos mínimos de dispositivo para acesso remoto *** ## Segurança Física O Wave é uma empresa 100% remota. Não há data centers on-premises. A segurança física da infraestrutura é gerenciada pelo Google Cloud, cujos data centers são certificados de forma independente para ISO 27001, SOC 2 e outros padrões. Os funcionários seguem requisitos de home office seguro, e os dispositivos são descartados com segurança ao fim da vida útil. *** ## Segurança dos Funcionários * Verificação de antecedentes realizada para todos os funcionários * Treinamento de conscientização de segurança no onboarding * Treinamento trimestral de segurança e privacidade * Política de Uso Aceitável assinada por todos os funcionários * Acordos de confidencialidade em vigor *** ## Segurança de Fornecedores O Wave mantém um Programa de Gestão de Risco de Fornecedores. Os provedores terceirizados são avaliados antes do onboarding com base em sua postura de segurança (relatórios SOC 2, questionários de segurança e avaliações de fornecedores). **Principais subprocessadores** | Fornecedor | Finalidade | | ------------ | --------------------------- | | Google Cloud | Infraestrutura e computação | | Vercel | Frontend e entrega de borda | | PlanetScale | Banco de dados | | Twilio | Comunicações SMS | | Stripe | Processamento de pagamentos | | Shopify | Comércio eletrônico | | Zendesk | Suporte ao cliente | | Microsoft | Produtividade e integrações | | MaxMind | Geolocalização por IP | Lista completa de subprocessadores disponível em nosso [Acordo de Processamento de Dados](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Segurança de IA O Wave usa IA nos seguintes recursos: * **Scanner Universal de Crachás**: OCR para extrair informações de contato de cartões de visita e crachás de eventos * **Enriquecimento de contatos**: preenchimento de campos de perfil ausentes a partir de fontes públicas * **Moderação de conteúdo**: detecção de conteúdo que viola as políticas nos perfis **Declarações principais:** * Os dados dos clientes **não** são usados para treinar modelos de IA * Os recursos de IA podem ser desativados quando aplicável * Os provedores de IA são divulgados na nossa lista de subprocessadores *** ## Classificação de Dados | Classificação | Descrição | | ---------------- | ---------------------------------------------------------------------- | | **Público** | Conteúdo de marketing, documentação pública | | **Interno** | Dados operacionais, comunicações internas | | **Confidencial** | Dados de clientes, dados comerciais, configurações de segurança | | **Restrito** | Credenciais de autenticação, chaves de criptografia, logs de auditoria | *** ## Proteção de Dados * Isolamento lógico de tenant: os dados de cada organização são separados nos níveis de aplicação e banco de dados * Controle de acesso baseado em funções impede acesso a dados entre tenants * Log de auditoria para todas as operações sensíveis * Princípios de minimização de dados aplicados na coleta *** ## Recursos de Segurança Enterprise Autentique usuários pelo seu provedor de identidade via SAML 2.0 ou OIDC. Automatize o provisionamento, desprovisionamento e mapeamento de equipes de usuários. Use seu próprio domínio para perfis e links de compartilhamento do Wave.