Pular para o conteúdo
Segurança

Segurança

Como a Filabor protege os dados da sua empresa e dos seus colaboradores: infraestrutura, criptografia, acesso, monitoramento e resposta a incidentes.

Última atualização:

Segurança é um pilar de produto na Filabor. Aplicamos controles de nível enterprise para proteger a infraestrutura e os dados que hospedamos em nome de cada Cliente. Importante: por atuarmos como desenvolvedora e operadora técnica da plataforma, a segurança segue um modelo de responsabilidade compartilhada — a Filabor cuida da plataforma e da infraestrutura; o Cliente cuida da gestão de usuários, permissões, higiene de credenciais e conformidade do conteúdo inserido.

Criptografia ponta-a-ponta

TLS 1.3 em trânsito e AES-256 em repouso para todos os dados sensíveis.

2FA obrigatório

Autenticação de dois fatores (TOTP e e-mail) multi-dispositivo para todos os usuários.

Permissões granulares

Roles e permissões por módulo — cada usuário vê apenas o que precisa ver.

Monitoramento 24x7

Logs centralizados, alertas automáticos e painel de observabilidade.

1. Visão geral

Nossa estratégia de segurança se apoia em quatro princípios: defesa em profundidade (múltiplas camadas independentes de proteção), menor privilégio (acesso mínimo necessário), segurança como código (controles versionados e auditáveis) e transparência (documentação aberta das nossas práticas).

2. Infraestrutura

  • Hospedagem em datacenters no Brasil com certificações ISO 27001 e SOC 2;
  • Redes privadas com segmentação por ambiente (produção, staging, dev);
  • Firewalls de aplicação (WAF) e proteção contra DDoS;
  • Atualizações de segurança aplicadas automaticamente em até 48h após disclosure;
  • Containers isolados por Cliente quando aplicável (plano Enterprise).

3. Criptografia

  • Em trânsito: TLS 1.3 obrigatório, HSTS ativado, sem suporte a TLS 1.0/1.1;
  • Em repouso: AES-256 para banco de dados, arquivos e backups;
  • Secrets: armazenados em vault dedicado com rotação periódica;
  • Senhas: nunca armazenadas em texto puro — usamos Argon2id com salt por registro;
  • Tokens JWT: assinados com chaves rotacionadas, tempo de vida curto (15 min) e refresh com blacklist.

4. Controle de acesso

4.1 Dos usuários da plataforma

A Filabor oferece os controles abaixo, mas a criação, o bloqueio e a revogação de usuários, bem como a atribuição de permissões, são de responsabilidade do Cliente, que é o controlador dos dados inseridos.

  • 2FA obrigatório (TOTP ou e-mail) para todos os usuários;
  • Modelo de roles e permissões granulares: admin, hr_manager, hr_analyst, payroll_manager, supervisor, employee;
  • Política de senhas fortes com bloqueio após tentativas inválidas;
  • Sessões com expiração automática e revogação por dispositivo.

4.2 Da nossa equipe

  • Acesso à infraestrutura apenas via bastion host com chaves SSH pessoais;
  • Acesso a dados de produção é just-in-time, registrado e auditado;
  • Revisão trimestral de permissões (princípio do menor privilégio);
  • Revogação imediata ao desligamento.

5. Segurança de aplicação

  • Revisão de código (code review) obrigatória antes do merge;
  • Análise estática (SAST) e de dependências (SCA) no pipeline de CI;
  • Proteções nativas contra OWASP Top 10: SQL injection, XSS, CSRF, IDOR, SSRF;
  • Rate limiting e throttling em endpoints públicos e sensíveis;
  • Validação e sanitização de todas as entradas de usuário no backend;
  • Testes de penetração anuais realizados por empresa independente.

6. Monitoramento e auditoria

  • Logs estruturados centralizados com retenção mínima de 12 meses;
  • Alertas automáticos para eventos anômalos (login incomum, acesso em massa, falhas recorrentes);
  • Trilha de auditoria imutável para operações sensíveis (alteração de salário, admissão, demissão, acesso a holerite);
  • Dashboards internos de observabilidade 24x7.

7. Backups e continuidade

  • Backups diários automatizados com retenção de 30 dias;
  • Backups semanais com retenção de 6 meses e mensais com retenção de 5 anos;
  • Restauração testada mensalmente em ambiente isolado;
  • RPO (Recovery Point Objective) ≤ 24h e RTO (Recovery Time Objective) ≤ 4h;
  • Replicação geográfica em outra região (plano Enterprise).

8. Pessoas e processos

  • Termo de confidencialidade (NDA) assinado por todos os colaboradores e prestadores;
  • Treinamento anual obrigatório de segurança e LGPD;
  • Processo formal de resposta a incidentes com papéis, rotas de comunicação e playbooks;
  • Fornecedores avaliados previamente em critérios de segurança e privacidade.

9. Divulgação responsável

Se você encontrou uma vulnerabilidade, queremos saber. Seguimos um programa de responsible disclosure:

  • Envie um relatório detalhado para security@filabor.com.br;
  • Confirmamos recebimento em até 72h;
  • Trabalharemos com você na triagem e na correção;
  • Reconhecemos publicamente pesquisadores que seguem boas práticas (com autorização prévia).

Não pratique: DoS/DDoS, engenharia social contra nossa equipe, acesso a dados que não sejam seus ou exfiltração de informações de outros clientes.

Precisa do nosso Security Whitepaper detalhado para avaliação técnica? Solicite por security@filabor.com.br.

Serviço prestado por Luiz Carlos Ferreira Junior Consultoria em Tecnologia da Informação LTDA (Filabor) · CNPJ 57.623.847/0001-40.