DickPic Pro Legal
English Русский Deutsch Français Español Português (BR)
Entrar Obter chave de API

Segurança

Tradução de cortesia. Este documento é uma tradução do original em inglês e é fornecido apenas para facilitar a sua compreensão. Somente a versão em inglês é vinculativa; em caso de divergência entre a tradução e o original, prevalecerá o texto em inglês.

Data de entrada em vigor: 2026-06-18
Última atualização: 2026-06-18
Versão: 1.0

Esta página descreve as medidas técnicas e organizacionais que implementamos para proteger os dados que tratamos. As medidas são mantidas sob revisão e podem evoluir ao longo do tempo.

1. Minimização de dados por meio da arquitetura

  • Processamento transitório de imagens. As imagens enviadas não são armazenadas em repouso. São mantidas apenas na memória e em buffers de processamento temporários durante a análise e excluídas imediatamente depois. Esta é a principal medida de minimização de dados do Serviço.
  • Conservação do PDF por tempo limitado. Os relatórios PDF gerados são conservados por um período fixo (7, 14 ou 30 dias, dependendo do produto) e depois excluídos automaticamente.
  • Exclusão iniciada pelo usuário. Os usuários podem excluir uma análise específica sob demanda, removendo o PDF, a pré-visualização e os metadados operacionais.
  • Sem conservação de longo prazo de logs de conteúdo pessoal. Os logs operacionais não contêm conteúdo pessoal. Os logs de aplicação são mantidos apenas conforme necessário para diagnóstico e rotacionados regularmente.

2. Criptografia

  • Em trânsito: TLS 1.2 ou superior para todas as conexões de clientes e para as conexões entre nossos serviços e os subcontratantes ulteriores.
  • Em repouso: o armazenamento de objetos usa criptografia gerenciada pelo provedor (Cloudflare R2). O armazenamento do banco de dados da aplicação é criptografado no nível do disco pelo host.
  • Senhas: armazenadas apenas como hashes bcrypt. Senhas em texto simples nunca são armazenadas.
  • Chaves de API: armazenadas apenas como hashes SHA-256. As chaves em texto simples são exibidas uma vez na criação e nunca mais.
  • Assinaturas de webhook: os payloads de webhook são assinados com HMAC-SHA256 usando um segredo por chave, permitindo que os destinatários verifiquem a autenticidade.

3. Controles de acesso

  • Autenticação de usuários por meio de cookies de sessão (HttpOnly, Secure, SameSite=Lax).
  • Autenticação de integrações de API por meio de chaves de API com permissões delimitadas e revogação.
  • Proteção CSRF em todas as requisições web que alteram estado.
  • Controles de acesso baseados em função, separando os contextos administrativo, de agência, de model e de API.
  • Princípio do menor privilégio para contas de serviço e acesso à infraestrutura.

4. Segurança de rede e de aplicação

  • Imposição de HTTPS exclusivo com HSTS.
  • Cabeçalhos de resposta de segurança (X-Content-Type-Options, X-Frame-Options, Content-Security-Policy, Referrer-Policy).
  • Limitação de taxa no nível da requisição para mitigar força bruta e abusos.
  • Validação de entrada e consultas parametrizadas ao banco de dados para mitigar ataques de injeção.
  • Salvaguardas de idempotência em endpoints de mutação para mitigar replay e abuso de envio duplicado.

5. Segurança operacional

  • Backups realizados regularmente e conservados por um período limitado; restauração testada periodicamente.
  • Monitoramento da integridade do serviço, das taxas de erro e de atividades anômalas.
  • Verificações de heartbeat nos workers em segundo plano; alertas em caso de travamentos.
  • Gestão de mudanças com migrações versionadas e implantações auditadas.
  • Revisão periódica de privilégios de acesso, segredos e versões de dependências.

6. Resposta a incidentes

Mantemos um procedimento interno para o tratamento de incidentes de segurança, incluindo identificação, contenção, investigação e notificação. Quando uma violação de dados pessoais afeta os dados que tratamos, notificaremos os Clientes afetados e, quando aplicável, os reguladores e os titulares dos dados, de acordo com a legislação aplicável e o Acordo de Tratamento de Dados.

7. Segurança dos subcontratantes ulteriores

Recorremos a subcontratantes ulteriores apenas quando eles atendem às nossas expectativas de segurança. Cada subcontratante ulterior está contratualmente vinculado a obrigações de segurança substancialmente equivalentes às descritas aqui. Nossa lista atual de subcontratantes ulteriores é publicada em /legal/subprocessors.

8. Limitações

Nenhum sistema pode garantir segurança absoluta. As medidas descritas aqui são concebidas para reduzir o risco, não para eliminá-lo. Os usuários devem adotar suas próprias medidas para proteger suas contas: usar uma senha forte e exclusiva, manter as credenciais confidenciais e comunicar prontamente qualquer suspeita de comprometimento.

9. Comunicação de vulnerabilidades

Se você acredita ter descoberto um problema de segurança que afete o Serviço, comunique-o pelo canal de contato indicado na Política de Privacidade. Por favor, dê-nos uma oportunidade razoável de resolver o problema antes da divulgação pública.

Termos · Privacidade · Cookies · Contato
DPA · Subprocessadores · Segurança · RGPD · Tratamento de dados · Direitos autorais

© 2026 [YOUR CYPRUS LTD LEGAL NAME]

English Русский Deutsch Français Español Português (BR)