Princípios
Adotamos security by design e defense in depth: cada camada do produto (frontend, funções servidor, banco de dados e storage) implementa controles independentes e auditáveis.
Controles técnicos ativos
- Transporte: HTTPS com TLS 1.3 e HSTS
- Autenticação: JWT gerenciado, sessões revogáveis, verificação de e-mail e recuperação segura de senha; login com Google (OAuth 2.0)
- Autorização: Row-Level Security (RLS) habilitado em 100% das tabelas públicas; papéis administrativos isolados em tabela dedicada com função
has_role()security definer - Validação: esquemas Zod no cliente + validação no servidor (CHECK, triggers, políticas RLS)
- Criptografia em repouso: AES-256 no banco de dados gerenciado
- Rate limiting: proteção anti-abuso em endpoints sensíveis (auth, envio de mensagens, submissão de simulados)
- Auditoria: logs de acesso administrativo e de eventos críticos com retenção de 12 meses
- Backups: snapshots automáticos diários com retenção mínima de 7 dias
- Dependências: auditoria contínua e atualização proativa
- Headers: CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy aplicados
Conformidade
- LGPD — Lei 13.709/2018 (Brasil)
- Marco Civil da Internet — Lei 12.965/2014
- OWASP Top 10 (2021) — controles aplicados em revisão de código
- WCAG 2.2 AA — declarado em /acessibilidade
Divulgação responsável
Pesquisadores de segurança são bem-vindos. Para reportar vulnerabilidades:
- Envie e-mail para contato@resiprova.com com o assunto
[SECURITY] - Inclua passos de reprodução, impacto estimado e proof-of-concept
- Aguarde triagem em até 5 dias úteis
- Não realize testes destrutivos, não exfiltre dados reais e não execute ataques de negação de serviço (DoS)
Em contrapartida, oferecemos agradecimento público (opt-in), prioridade na correção e comunicação transparente do plano de mitigação.
Publicamos também um /.well-known/security.txt conforme RFC 9116.
Escopo
Em escopo: domínios oficiais do ResiProva.
Fora de escopo: serviços de terceiros — reporte diretamente aos respectivos provedores. Testes que causem impacto a outros usuários, engenharia social contra funcionários e ataques físicos também estão fora de escopo.