Stepiqy

Última atualização: 20 de maio de 2026

Segurança de Dados

A segurança dos seus dados é uma responsabilidade que levamos a sério. Esta página descreve as medidas técnicas e organizacionais que o Stepiqy implementa para proteger suas informações pessoais, em conformidade com a LGPD (Lei nº 13.709/2018) e as melhores práticas de segurança da informação.

Criptografia em trânsito

TLS 1.2 / TLS 1.3

Autenticação de senhas

bcrypt + salt

Pagamentos

Stripe PCI-DSS Nível 1

1. Criptografia e Proteção de Dados em Trânsito

Todas as comunicações entre o seu navegador e os servidores do Stepiqy são protegidas por TLS 1.2 ou superior (HTTPS). Conexões não seguras (HTTP) são automaticamente redirecionadas para HTTPS. Certificados digitais são gerenciados pela Vercel com renovação automática via Let's Encrypt.

2. Proteção de Dados em Repouso

  • Banco de dados: armazenado no Supabase com criptografia AES-256 em repouso. Backups automáticos diários também são criptografados.
  • Senhas: nunca armazenadas em texto claro. Utilizamos o algoritmo bcrypt com fator de custo elevado e salt individual por usuário. Nem mesmo nossa equipe pode visualizar sua senha.
  • Dados financeiros: o Stepiqy não armazena números de cartão, CVV ou dados bancários. Esses dados trafegam exclusivamente entre você e a Stripe, sem passar pelos nossos servidores.

3. Controle de Acesso

  • Row-Level Security (RLS): o banco de dados Supabase implementa políticas de segurança em nível de linha, garantindo que cada usuário só acesse seus próprios dados.
  • JWT com expiração: sessões autenticadas utilizam tokens JWT com prazo de expiração, renovados automaticamente apenas durante uso ativo.
  • Princípio do menor privilégio: as chaves de API e credenciais de serviços de terceiros possuem apenas as permissões estritamente necessárias.
  • Variáveis de ambiente: credenciais sensíveis (chaves de API, secrets) são armazenadas exclusivamente como variáveis de ambiente no servidor, nunca expostas no código-fonte público.

4. Infraestrutura e Fornecedores

Vercel — Hospedagem

  • Infraestrutura globalmente distribuída com proteção DDoS integrada.
  • Edge Network com WAF (Web Application Firewall).
  • Conformidade: SOC 2 Type II, ISO 27001.

Supabase — Banco de Dados e Autenticação

  • PostgreSQL com criptografia em repouso (AES-256) e em trânsito (TLS).
  • Backups automáticos diários com retenção de 7 dias (plano gerenciado).
  • Conformidade: SOC 2 Type II, ISO 27001, GDPR.

Stripe — Processamento de Pagamentos

  • Certificação PCI-DSS Nível 1 — o mais alto nível de certificação de segurança para pagamentos.
  • Dados de cartão nunca transitam pelos servidores do Stepiqy (tokenização direta).
  • Monitoramento de fraudes em tempo real com machine learning.

5. Monitoramento e Prevenção de Ameaças

  • Rate limiting nas APIs para prevenir abusos e ataques de força bruta.
  • Monitoramento contínuo de logs de acesso e atividades suspeitas.
  • Webhooks de pagamento validados com assinatura criptográfica (HMAC-SHA256) da Stripe.
  • Revisão periódica de dependências de software para identificação de vulnerabilidades conhecidas (CVEs).

6. Resposta a Incidentes

Em caso de incidente de segurança que envolva dados pessoais com risco relevante aos titulares, o Stepiqy seguirá o seguinte procedimento:

  1. 1
    Identificação e contenção: Isolamento imediato do sistema ou componente afetado.
  2. 2
    Avaliação de impacto: Determinação do escopo, natureza dos dados e titulares possivelmente afetados.
  3. 3
    Notificação: Comunicação à ANPD e aos titulares afetados em prazo razoável (máximo 72 horas úteis), conforme Art. 48 da LGPD.
  4. 4
    Remediação: Correção da causa raiz, aplicação de patches e reforço de controles.
  5. 5
    Relatório pós-incidente: Documentação das lições aprendidas e melhorias implementadas.

7. Responsabilidades do Usuário

A segurança é uma responsabilidade compartilhada. Para proteger sua conta, recomendamos:

  • Usar uma senha forte e exclusiva para o Stepiqy (mínimo de 12 caracteres, combinando letras, números e símbolos).
  • Nunca compartilhar suas credenciais de acesso com terceiros.
  • Sair da conta ao usar dispositivos compartilhados ou públicos.
  • Manter seu dispositivo e navegador atualizados.
  • Estar atento a tentativas de phishing — o Stepiqy nunca solicitará sua senha por e-mail.
  • Notificar imediatamente qualquer atividade suspeita em sua conta para support@stepiqy.com.

8. Divulgação Responsável de Vulnerabilidades

Caso você identifique uma vulnerabilidade de segurança na plataforma Stepiqy, pedimos que nos reporte de forma responsável antes de tornar o problema público:

E-mail: support@stepiqy.com

Assunto: [SECURITY] Descrição resumida

Prazo de resposta inicial: até 5 dias úteis

Agradecemos a colaboração da comunidade de segurança e nos comprometemos a tratar os relatos com seriedade, confidencialidade e celeridade.

9. Atualizações desta Política

Esta Política de Segurança pode ser atualizada para refletir melhorias implementadas ou mudanças regulatórias. Alterações relevantes serão comunicadas por e-mail ou por aviso na plataforma.