Segurança
Segurança e proteção de dados
⚠️ Tradução em revisão jurídica. Este documento é uma tradução da versão original em inglês. A revisão jurídica para sua jurisdição está em andamento. Até que seja concluída, em caso de divergência, prevalece a versão em inglês. Ver a versão em inglês.
Última atualização: 27 de abril de 2026
1. Nossa abordagem de segurança
O VetScan lida com informação pessoal sobre você e informação de saúde sobre seu cão. Tratamos ambas como sensíveis. Esta página documenta o que fazemos para proteger esses dados e como reportar problemas de segurança.
2. Criptografia
- Em trânsito: Todas as conexões usam TLS 1.3 (a última versão do HTTPS). O site é servido exclusivamente sobre HTTPS — HTTP redireciona automaticamente.
- Em repouso: Todos os dados armazenados são criptografados em repouso usando AES-256, o mesmo padrão de criptografia usado pelo governo dos EUA para dados classificados.
- Backups do banco de dados: Criptografados com chaves separadas, armazenados em locais geograficamente distintos.
3. Infraestrutura
Apoiamo-nos em provedores de infraestrutura com forte postura de segurança:
- Hospedagem: Vercel — em conformidade com SOC 2 Type II, certificado ISO 27001, opera em uma CDN global com proteção contra DDoS
- E-mail: Google Workspace — SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, FedRAMP
- Domain & DNS: Namecheap with DNSSEC available; CDN traffic routed through Cloudflare
- Banco de dados (pós-lançamento): Um provedor certificado SOC 2 Type II; seleção de fornecedor em andamento (meta: Q2 2026)
4. Controles de acesso
- Autenticação de dois fatores obrigatória em todas as contas da equipe (Google Workspace, GitHub, Vercel, hospedagem)
- Princípio do privilégio mínimo — membros da equipe só têm acesso ao que precisam para fazer o trabalho deles
- Logs de auditoria para operações sensíveis (ações administrativas, exportação de dados, rotação de chaves)
- Revisões regulares de acesso — no mínimo trimestralmente, com mais frequência durante mudanças na equipe
5. Privacy by design
- Coleta mínima de dados — coletamos apenas o necessário para o serviço funcionar
- Opção de triagem anônima — a triagem básica não exige conta; você pode usar a ferramenta sem criar um registro de identidade
- Auto-exclusão de contas inativas após 24 meses
- Exportação de dados disponível mediante solicitação — você pode pedir seus dados e levá-los para outro lugar
- Sem rastreadores publicitários de terceiros — não embutimos Facebook Pixel, Google Ads ou rastreadores similares sem consentimento explícito (banner de cookies)
6. Conformidade
- GDPR — em conformidade; Acordo de Processamento de Dados (DPA) completo disponível mediante solicitação para parceiros B2B
- CCPA — em conformidade para residentes da Califórnia; link "Do Not Sell" no rodapé (não vendemos dados de qualquer forma)
- SOC 2 Type II — auditoria em andamento; meta de conclusão Q3 2026
- HIPAA — formalmente não aplicável (HIPAA cobre dados médicos humanos, não de pets); no entanto, aplicamos voluntariamente salvaguardas administrativas, físicas e técnicas equivalentes
7. Programa de divulgação de vulnerabilidades
Se você descobrir uma vulnerabilidade de segurança, reporte-a de forma responsável:
- E-mail: hello@vetscan.app com assunto "Security: [resumo da vulnerabilidade]"
- O que incluir: uma descrição da vulnerabilidade, passos para reproduzir e (se possível) mitigação sugerida
- Nosso compromisso: confirmamos em 48 horas, fazemos triagem em 5 dias úteis e fornecemos atualização de status pelo menos a cada 14 dias até a resolução
- Janela de divulgação: pedimos aos pesquisadores que aguardem 90 dias antes da divulgação pública; vamos trabalhar com você para corrigir mais rápido quando a gravidade exigir
- Contato legível por máquina: publicamos
security.txtconforme RFC 9116 - Política completa e regras: SECURITY_POLICY.md (escopo, rubrica de severidade, safe harbor)
- Reconhecimento: com sua permissão, listamos reportes válidos em nosso log público de segurança; programa de bug bounty em desenvolvimento
8. Resposta a incidentes
- Comprometemo-nos com notificação de violação em 72 horas conforme o Artigo 33 do GDPR
- Vamos notificar os usuários afetados individualmente em qualquer violação envolvendo dados pessoais
- Mantemos um log público de segurança nesta página (veja abaixo)
Log público de segurança: Sem incidentes reportáveis até o momento. Este log é atualizado dentro de 30 dias após qualquer evento qualificado.
9. Operadores terceirizados
Usamos um conjunto limitado de operadores verificados:
| Operador | Finalidade | Região |
|---|---|---|
| Vercel | Hospedagem, CDN, edge compute | Global (configurável) |
| Google Workspace | E-mail, agenda, documentos | EUA/UE |
| Cloudflare | DNS, proteção contra DDoS | Global |
| Namecheap | Registrador de domínios | EUA |
Operadores de e-mail marketing e análise (por exemplo, Kit/ConvertKit, Plausible/GA4) serão adicionados a esta lista antes de serem integrados.
10. Contato
- Vulnerabilidades de segurança: hello@vetscan.app (assunto: Security)
- Solicitações de privacidade e dados: privacy@vetscan.app
- Perguntas gerais: hello@vetscan.app