Segurança

A Vou de Zap adota medidas técnicas e administrativas razoáveis, proporcionais aos riscos do produto e ao porte da operação, para proteger dados pessoais, integridade da plataforma e disponibilidade do serviço. Não prometemos sistema "100% seguro" — nenhum sistema é. Trabalhamos para reduzir riscos e responder rápido a incidentes.

O acesso ao site e ao painel é feito por HTTPS/TLS. Comunicações entre o backend, integrações Meta/WhatsApp, Google Calendar e demais serviços externos também são feitas por canais protegidos por TLS.

A Vou de Zap não opera criptografia ponta a ponta entre cliente final e empresa cliente — a mensageria passa pelos servidores da Meta (WhatsApp Cloud API) e pelos servidores da plataforma para que o atendimento automatizado funcione.

• Login por usuário e senha, com sessões autenticadas no painel.
• Perfis de acesso por papel (dono da conta, dono da agenda, profissional, recepcionista) — operação e visibilidade limitadas ao papel.
• Separação lógica entre contas/empresas — cada cliente acessa apenas seus próprios dados.
• Permissões mínimas necessárias por integração externa (princípio do menor privilégio).

• App secrets, chaves de API e tokens de integração são armazenados em variáveis de ambiente, fora do repositório de código.
• Tokens de integração (ex.: Meta, Google) ficam cifrados no banco quando persistidos.
• Credenciais sensíveis nunca aparecem em logs.
• Frontend nunca tem acesso a app secret ou access token de sistema — somente o backend.

• Logs técnicos e operacionais para diagnóstico, auditoria e investigação de incidentes.
• Cuidado para não registrar dados sensíveis desnecessários (ex.: tokens completos, senhas, conteúdo sensível em claro).
• Monitoramento básico de saúde da aplicação e das integrações externas.

• Backups periódicos do banco de dados e proteção operacional contra perda de dados.
• Procedimentos de restauração testados quando aplicável.

• Atualização regular de dependências e do sistema operacional.
• Aplicação de correções de vulnerabilidades conforme severidade e risco real do produto.
• Avaliação contínua de novas CVEs relevantes.

A plataforma integra-se com terceiros essenciais à operação:

• Meta / WhatsApp Cloud API — envio e recebimento de mensagens.
• Google Calendar — sincronização de agendamentos quando habilitada.
• E-mail transacional — comunicações de conta e suporte.
• Banco de dados e infraestrutura — operação do produto.
• Autenticação e cobrança — quando aplicável.

A Vou de Zap configura e mantém o seu lado da integração. Falhas ou incidentes nesses terceiros estão fora do controle direto, mas adotamos posturas defensivas (timeouts, retentativa, idempotência por identificador externo, isolamento de falha quando viável).

Encontrou um problema de segurança? Enquanto a caixa dedicada security@voudezap.com.br está em fase de criação, escreva para privacidade@voudezap.com.br com o assunto "Segurança" e inclua:

• descrição clara do problema;
• passos para reproduzir;
• impacto observado;
• se possível, prova de conceito mínima.

Pedimos que o relatório não envolva uso indevido, exfiltração de dados de terceiros, DoS ou tentativa de ataque destrutivo. Avaliamos cada relatório em prazo razoável e retornamos pelo mesmo canal.

Em caso de incidente de segurança que afete dados pessoais, a Vou de Zap adotará as medidas previstas em lei e em política interna, podendo incluir:

• contenção do incidente;
• análise técnica e impacto;
• comunicação aos titulares e à ANPD quando aplicável;
• correções e melhorias decorrentes do aprendizado.

Não usamos os termos "100% seguro", "à prova de invasão" ou "com criptografia ponta a ponta dentro da Vou de Zap" — nenhuma dessas afirmações seria honesta para um SaaS que intermedia mensageria e mantém histórico operacional para o cliente. Trabalhamos com medidas razoáveis e contínuas.

A caixa dedicada security@voudezap.com.br está em fase de criação. Até lá, o canal de privacidade recebe também os reportes de segurança.