← Voltar para o início

Segurança

27 de maio de 2026

1. Nossa postura de segurança

A segurança dos dados dos nossos clientes é uma responsabilidade central na Oryn Labs LLC. Adotamos uma abordagem de defesa em profundidade: múltiplas camadas de controles técnicos, organizacionais e de processo para proteger a plataforma Wazap.

2. Infraestrutura e controles técnicos

  • Criptografia em trânsito: toda comunicação usa TLS 1.2+ com certificados gerenciados automaticamente.
  • Criptografia em repouso: banco de dados PostgreSQL com criptografia de disco habilitada no provedor de nuvem.
  • Autenticação: senhas armazenadas com bcrypt (fator de custo ≥ 12). Tokens de sessão gerados com entropia criptográfica.
  • Controle de acesso: modelo RBAC (role-based access control) multi-tenant — dados de cada empresa são isolados por contexto de tenant.
  • Proteção contra ataques comuns: rate limiting por IP, proteção CSRF, sanitização de inputs via VineJS, headers de segurança HTTP.
  • Monitoramento: logs de acesso, detecção de anomalias e alertas em tempo real para atividades suspeitas.

3. Integração com Meta (WhatsApp)

A plataforma consome a WhatsApp Cloud API da Meta. Tokens de acesso são armazenados de forma criptografada e nunca expostos no frontend. Webhooks são verificados via assinatura HMAC-SHA256 antes do processamento.

4. Divulgação responsável

Caso você encontre uma vulnerabilidade de segurança no Wazap, pedimos que siga as práticas de divulgação responsável:

  • Não explore a vulnerabilidade além do necessário para comprovar a existência.
  • Não acesse, modifique ou exclua dados de outros usuários.
  • Não realize ataques de negação de serviço (DoS/DDoS).
  • Reporte imediatamente por e-mail antes de qualquer divulgação pública.

Respondemos a todos os relatórios em até 48 horas e trabalhamos para corrigir vulnerabilidades válidas o mais rápido possível. Pesquisadores que agirem de boa-fé receberão crédito público (se desejado).

5. Reportar uma vulnerabilidade

Envie seu relatório de forma confidencial para:
[email protected]

Inclua uma descrição detalhada, passos para reproduzir, impacto estimado e, se possível, uma prova de conceito.

6. Contato geral de segurança

Para questões de segurança que não sejam vulnerabilidades (ex.: dúvidas sobre conformidade, acesso indevido à conta):
[email protected]