Governança
- Versão
- 2.0
- Data de vigência
- Última revisão
- Próxima revisão
- Responsável
- Joel R. Klemmer
Seção 1. Escopo e postura da plataforma
Este é um site de autoridade informativa. Não processa pagamentos. Não hospeda contas de usuário. Não mantém bases de dados persistentes de usuários além de necessidades operacionais limitadas. A superfície de risco é intencionalmente restrita por design.
Os compromissos de segurança aplicam-se a este site e seu pipeline de hospedagem. Não reivindicamos assegurar dados processados inteiramente por serviços de terceiros além de nossas expectativas contratuais. Dados transmitidos a serviços de terceiros estão sujeitos a seus controles de segurança independentes.
Seção 2. Desenvolvimento e implantação seguros
Considerações de segurança são integradas ao design de desenvolvimento, revisão de código e fluxos de trabalho de implantação.
Todas as alterações fluem pelo controle de versão. A integração contínua aplica verificações de formatação, auditorias de dependências, linting e portas de validação antes da compilação.
Quando aplicável, os ambientes de produção e desenvolvimento estão logicamente separados. O acesso aos sistemas de implantação é restrito através de controles de acesso baseados em papéis consistentes com as necessidades operacionais.
Eventos relevantes para segurança podem ser registrados e revisados de forma consistente com os requisitos operacionais.
Seção 3. Controles de infraestrutura
Ambiente de hospedagem
O site é hospedado em infraestrutura que fornece terminação TLS e transporte criptografado. Resiliência de infraestrutura e procedimentos de backup são gerenciados pelo provedor de hospedagem.
Segurança de transporte
Todo o tráfego é criptografado usando HTTPS. Conteúdo misto não é usado. HSTS está habilitado em produção com preload. A terminação TLS ocorre na borda.
Cabeçalhos HTTP de segurança
O site envia cabeçalhos de segurança incluindo Content Security Policy, X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin e Permissions-Policy restringindo câmera, microfone, geolocalização e recursos relacionados. Inclusão de objetos e frames está desabilitada.
Seção 4. Controles de aplicação
Tratamento de entrada
A entrada do formulário de contato é validada. Apenas dados necessários são coletados. Limite de taxa é aplicado conforme a configuração de implantação.
Gestão de dependências
Dependências de pacotes são gerenciadas pelo sistema de dependências do projeto. A integração contínua varre vulnerabilidades críticas. Problemas identificados são avaliados e tratados conforme severidade e viabilidade.
Integridade de conteúdo
O site é principalmente estático. A execução dinâmica é limitada à funcionalidade essencial. Fontes de script e estilo são restritas através da Content Security Policy.
Seção 5. Proteção de dados
A coleta de dados é mínima. Consultas de contato são processadas somente para comunicação. Sem revenda, sem criação de perfil, sem armazenamento persistente de contas de usuário.
Para informações adicionais sobre práticas de dados, consulte a página de Privacidade.
Seção 7. Gestão de vulnerabilidades
Dependências são monitoradas usando ferramentas padrão de gestão de pacotes. Atualizações de infraestrutura são tratadas pelo provedor de hospedagem.
Não podemos garantir cobertura de zero-day. Problemas de segurança são avaliados e tratados quando identificados.
Em caso de incidente de segurança envolvendo dados pessoais sob nosso controle, agiremos de forma consistente com obrigações legais aplicáveis.
Seção 8. Divulgação responsável
Preocupações de segurança podem ser relatadas através da Página de contato. Os relatórios devem incluir descrição clara do problema, passos para reproduzir e a URL ou componente afetado.
Não inclua código de exploração ativo no relatório inicial.
Visamos reconhecer relatórios dentro de um prazo razoável. Nenhuma garantia de tempo de resposta é fornecida.
Seção 9. Porto seguro
Não tomaremos ação legal contra pesquisadores que relatem vulnerabilidades de boa-fé, permaneçam dentro do escopo descrito nesta política, evitem acessar ou modificar dados além do necessário para demonstrar o problema e evitem dano à privacidade ou interrupção do serviço.
Este porto seguro aplica-se apenas a atividades realizadas dentro do escopo descrito nesta política e não autoriza ações que violem a lei aplicável ou os termos dos serviços de terceiros.
Teste de negação de serviço, engenharia social de pessoal ou teste de serviços de terceiros não são permitidos.
Seção 10. Limitações
Nenhum sistema é imune ao risco. Esta página de Segurança não constitui garantia ou compromisso contratual de segurança.
Declarações neste documento refletem práticas atuais e podem mudar sem aviso prévio.
Os usuários são responsáveis por manter práticas de segurança razoáveis em seus próprios dispositivos e redes.
Seção 11. Governança e revisão
A postura de segurança é revisada periodicamente. Alterações materiais serão refletidas na seção de governança.
Última atualização: 2026-02-22