Política de Segurança da Informação

Esta política estabelece as diretrizes de segurança da informação da ZF System, visando proteger dados de clientes, parceiros e vendedores que utilizam a plataforma, garantindo confidencialidade, integridade e disponibilidade das informações.

Aplica-se a todos os sistemas, servidores, bancos de dados, APIs e integração com plataformas terceiras (TikTok Shop, Mercado Livre, entre outras) operados pela ZF System.

• Todas as comunicações são realizadas via HTTPS/TLS, garantindo criptografia dos dados em trânsito.
• Certificados SSL são gerenciados automaticamente via Caddy Server com renovação automática.
• APIs de terceiros são acessadas exclusivamente via HTTPS.

• Credenciais de API (tokens, secrets) são armazenadas como variáveis de ambiente no servidor, nunca no código-fonte.
• Tokens OAuth2 são armazenados no banco de dados com acesso restrito por tenant (multi-tenant isolation).
• Senhas de usuários são armazenadas utilizando hashing seguro (bcrypt via Auth.js).

• O sistema implementa RBAC (Role-Based Access Control) com permissões granulares por função.
• Cada loja (tenant) opera em isolamento completo via storeId, impedindo acesso cruzado a dados.
• Acesso ao servidor de produção é restrito via SSH com autenticação por chave.
• Princípio do privilégio mínimo: cada usuário e serviço acessa apenas os recursos necessários.

• Firewall UFW configurado no servidor, permitindo apenas portas necessárias (80, 443, 22).
• Segregação de processos: aplicação roda sob usuário dedicado sem privilégios de root.
• Monitoramento contínuo de processos via PM2 com logs centralizados.
• O servidor está hospedado na Hostinger com infraestrutura de rede segregada.

• Estações de trabalho Windows utilizam Windows Defender com proteção em tempo real.
• Servidor Linux (Ubuntu 24.04 LTS) com atualizações automáticas de segurança (unattended-upgrades).
• Bloqueio automático de tela e políticas de senha complexa nos terminais.

• Atualizações de segurança aplicadas automaticamente no servidor.
• Dependências do projeto monitoradas via npm audit.
• Revisão de código antes de deploy em produção.
• Backups automáticos do banco de dados antes de cada deploy.

Monitoramento em tempo real do servidor (CPU, memória, disco, rede) com alertas automáticos em caso de falhas ou comportamento anômalo.

• Conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018).
• Política de privacidade publicada e acessível em /privacidade.
• Dados pessoais coletados apenas para finalidades específicas e legítimas.
• Direitos dos titulares (acesso, correção, exclusão) atendidos mediante solicitação.
• Ao encerrar a relação contratual, todos os dados do cliente são excluídos do sistema.

• Tokens de acesso a APIs (TikTok Shop, Mercado Livre) são armazenados de forma segura.
• Renovação automática de tokens antes da expiração.
• Webhooks validados por assinatura HMAC quando disponível.
• Dados sincronizados são limitados ao necessário para operação (produtos, pedidos, estoque).

• Backup automático do banco de dados antes de cada deploy.
• Histórico de versões mantido via Git.
• Procedimento de rollback documentado para recuperação rápida.