Segurança
27 de maio de 2026
1. Nossa postura de segurança
A segurança dos dados dos nossos clientes é uma responsabilidade central na Oryn Labs LLC. Adotamos uma abordagem de defesa em profundidade: múltiplas camadas de controles técnicos, organizacionais e de processo para proteger a plataforma Wazap.
2. Infraestrutura e controles técnicos
- Criptografia em trânsito: toda comunicação usa TLS 1.2+ com certificados gerenciados automaticamente.
- Criptografia em repouso: banco de dados PostgreSQL com criptografia de disco habilitada no provedor de nuvem.
- Autenticação: senhas armazenadas com bcrypt (fator de custo ≥ 12). Tokens de sessão gerados com entropia criptográfica.
- Controle de acesso: modelo RBAC (role-based access control) multi-tenant — dados de cada empresa são isolados por contexto de tenant.
- Proteção contra ataques comuns: rate limiting por IP, proteção CSRF, sanitização de inputs via VineJS, headers de segurança HTTP.
- Monitoramento: logs de acesso, detecção de anomalias e alertas em tempo real para atividades suspeitas.
3. Integração com Meta (WhatsApp)
A plataforma consome a WhatsApp Cloud API da Meta. Tokens de acesso são armazenados de forma criptografada e nunca expostos no frontend. Webhooks são verificados via assinatura HMAC-SHA256 antes do processamento.
4. Divulgação responsável
Caso você encontre uma vulnerabilidade de segurança no Wazap, pedimos que siga as práticas de divulgação responsável:
- Não explore a vulnerabilidade além do necessário para comprovar a existência.
- Não acesse, modifique ou exclua dados de outros usuários.
- Não realize ataques de negação de serviço (DoS/DDoS).
- Reporte imediatamente por e-mail antes de qualquer divulgação pública.
Respondemos a todos os relatórios em até 48 horas e trabalhamos para corrigir vulnerabilidades válidas o mais rápido possível. Pesquisadores que agirem de boa-fé receberão crédito público (se desejado).
5. Reportar uma vulnerabilidade
Envie seu relatório de forma confidencial para:
[email protected]
Inclua uma descrição detalhada, passos para reproduzir, impacto estimado e, se possível, uma prova de conceito.
6. Contato geral de segurança
Para questões de segurança que não sejam vulnerabilidades (ex.: dúvidas sobre conformidade, acesso indevido à conta):
[email protected]