Legal / Política de Segurança e Logs — Pyxara Social

Documento legal · Pyxara Social

Política de Segurança e Logs — Pyxara Social

Versão 1Última atualização: 17/11/2025Idioma: PT

Este documento faz parte do conjunto de políticas e termos que regem o uso da Pyxara Social. Para uma visão geral, consulte o Centro de Documentação Legal.

Política de Segurança e Logs — Pyxara Social

Última atualização: 17/11/2025

A presente Política descreve as medidas técnicas, organizacionais e operacionais adotadas pela {{NOME_LEGAL_DA_EMPRESA}} (“Processador”, “Pyxara Social”) para assegurar a proteção dos dados pessoais tratados através da Plataforma.

Ela cumpre:

  • GDPR (Art. 5, 24, 25, 32, 33)
  • LGPD (Art. 46 a 50)
  • CCPA/CPRA
  • Requisitos oficiais das APIs:
    • Meta Platform Terms
    • Facebook/Instagram Graph API Security Requirements
    • YouTube API Services User Data Policy
    • TikTok Developer Terms
    • LinkedIn Marketing Developer Requirements
    • X Developer Policy

1. Princípios de Segurança

A Pyxara Social adota práticas baseadas em:

  • Princípio do Mínimo Privilégio
  • Segurança por Design
  • Segurança por Padrão
  • Segregação de Dados
  • Rastreabilidade
  • Transparência e Auditabilidade

Todos os dados são processados para fins estritamente funcionais à operação do Serviço.

2. Encriptação e Proteção de Dados

2.1. Dados em trânsito

Todo o tráfego é protegido por:

  • TLS 1.2 ou superior
  • HSTS
  • Firewall de aplicações
  • CDN (se habilitada)

2.2. Dados em repouso

Inclui:

  • Base de dados Supabase
  • Buckets de storage
  • Logs
  • Backups

São protegidos com:

  • AES-256
  • Chaves geridas e rotativas
  • Isolamento em projeto dedicado

2.3. Tokens OAuth

  • Encriptados no banco
  • Escopos restritos
  • Tokens nunca são expostos ao cliente
  • Não armazenamos refresh tokens quando a API permite tokens de curta duração
  • Revogados automaticamente ao encerrar conta

3. Arquitetura e Acesso

3.1. Autenticação

  • JWT (server-side verificado)
  • Sessões cuidada pelo Supabase Auth
  • MFA opcional quando disponível
  • Encriptação forte de senhas (bcrypt/scrypt)

3.2. Autorização

  • Row Level Security (RLS) integral no Supabase
  • Tabelas segregadas por user_id e workspace_id
  • Views restritivas para leitura
  • Nenhuma ação é executada sem verificação de permissões

3.3. Acesso interno

Apenas acessos:

  • autorizados
  • mínimos
  • registrados
  • com credenciais rotativas
  • restritos a logs ou suporte técnico específico
  • nunca aos dados de redes sociais do usuário

4. Segurança da Infraestrutura

4.1. Servidores e redes

  • Hospedagem em Vercel (app) e Supabase (DB/storage)
  • Workers e automações executados via instância n8n (self-hosted)
  • Rede protegida por firewall e DNS seguro
  • Atualizações automáticas de kernel e dependências críticas

4.2. Backups

  • Backups diários encriptados
  • Retenção mínima de 14 dias
  • Acesso restrito
  • Testes de restauração periódicos

4.3. Monitorização

  • Monitoramento de uptime
  • Alertas de falha
  • Health checks
  • Logging centralizado

5. Gestão de Logs (Conforme Exigência Meta/Google/TikTok/LinkedIn)

A Pyxara Social mantém logs mínimos necessários para:

  • segurança
  • integridade
  • auditoria
  • eventos de API
  • prevenção de abuso

5.1. Tipos de logs registrados

Tipo de Log Finalidade
Ações de usuário Publicar, editar, excluir, conectar contas
Erros de API Auditoria, diagnóstico
Eventos OAuth Renovação, expiração, escopos
Logs de publicação Execução de posts agendados
Logs de segurança Tentativas incorretas de login, bloqueios
Logs técnicos do n8n Fluxos, falhas, execuções

5.2. Dados que não registramos

  • Conteúdo de mensagens privadas
  • Dados sensíveis ou confidenciais além dos necessários
  • Tokens OAuth em texto puro
  • Dados que violem políticas das plataformas conectadas

5.3. Retenção de logs

  • Logs essenciais: 12 meses
  • Logs exigidos por APIs (Meta/Google): até 24 meses
  • Logs de erro: 90 dias
  • Logs de segurança: 12–24 meses
  • Registos de auditoria internos: 12 meses

A eliminação ocorre de forma sistemática e segura.

5.4. Conformidade com APIs Externas e Restrições de Armazenamento

A Pyxara Social depende de APIs de terceiros para realizar operações como publicação, recolha de métricas e autenticação.
Alterações, limitações, suspensões ou falhas nessas plataformas podem afetar o funcionamento do Serviço, não sendo responsabilidade da Pyxara Social tais impactos.

Em total conformidade com os requisitos das plataformas Meta, Google/YouTube, TikTok, LinkedIn e X, a Pyxara Social não armazena, replica, exporta ou utiliza dados de seguidores, listas de contactos, perfis, friends/followers, mensagens privadas, insights proprietários ou qualquer dado de terceiros para além do estritamente necessário ao funcionamento imediato do Serviço.

Qualquer dado obtido através dessas APIs é:

  • usado exclusivamente para a operação solicitada pelo utilizador
  • armazenado apenas pelo período mínimo necessário
  • removido automaticamente conforme esta Política de Logs
  • nunca vendido, redistribuído ou utilizado para fins independentes

6. Prevenção de Abuso e Segurança Operacional

Medidas aplicadas:

  • Rate limits por usuário e workspace
  • Detecção automática de comportamento suspeito
  • Monitorização de picos anormais
  • Bloqueio automático de IPs maliciosos
  • Validação de payloads
  • Sanitização de uploads
  • Anti-spam e anti-automação abusiva

7. Tokens e Permissões (Conformidade com Meta/Google)

Cada integração segue normas específicas:

7.1. Meta (Facebook/Instagram)

  • Tokens armazenados encriptados
  • Revisão periódica de permissões
  • Revogação automática ao encerrar conta
  • Verificação de expiração a cada uso
  • Logs de renovação mantidos por 24 meses
  • Nenhum dado é partilhado com terceiros não autorizados

7.2. YouTube / Google

7.3. TikTok

  • Tokens armazenados apenas enquanto necessários
  • Logs não incluem dados sensíveis
  • Cumprimento de quotas e limites de API

7.4. LinkedIn

  • Conformidade com Marketing Developer Terms
  • Armazenamento mínimo de métricas
  • Respeito às restrições de redistribuição de dados

8. Gestão de Incidentes de Segurança

Em caso de incidente envolvendo dados pessoais:

  1. O Processador notificará o Controlador sem atraso injustificado
  2. Fornecerá:
    • natureza do incidente
    • categorias e volume de dados afetados
    • medidas tomadas
    • riscos potenciais
  3. Auxiliará no cumprimento de obrigações junto a autoridades
  4. Tomará ações imediatas de mitigação
  5. Atualizará logs e registros associados

Nenhuma comunicação pública será feita sem coordenação com o Controlador.

9. Testes e Auditorias

  • Revisões internas trimestrais
  • Testes de segurança automatizados
  • Monitorização constante da integridade de tokens
  • Testes de restauração de backup
  • Logs de n8n auditáveis
  • Revisão manual de fluxos críticos (publicação, tokens, RLS)

Auditorias externas podem ser solicitadas conforme DPA.

10. Pessoal Autorizado

Acesso aos dados pessoais é permitido apenas a:

  • pessoal técnico essencial
  • sob acordo de confidencialidade
  • com treinamento em proteção de dados
  • seguindo registo de acesso
  • com privilégios mínimos necessários

Nenhum funcionário tem acesso a:

  • tokens OAuth
  • contas de redes sociais do usuário
  • conteúdos privados que não sejam explicitamente fornecidos pelo Controlador

11. Subprocessadores

A lista completa encontra-se em:

/legal/subprocessadores

Todos subprocessadores:

  • operam sob contrato GDPR-compatível
  • seguem boas práticas de segurança
  • são avaliados regularmente
  • são anunciados em caso de alteração

12. Contato Oficial (DPO)

{{RESPONSAVEL_TRATAMENTO}}
E-mail: {{EMAIL_LEGAL}}
Endereço: {{ENDERECO_COMPLETO}}

13. Alterações a Esta Política

Esta Política pode ser atualizada periodicamente.
A versão atual estará sempre disponível em:

https://{{DOMINIO}}/legal/politica-seguranca-logs

Em caso de dúvidas sobre este documento, contacte-nos em legal@pyxara.com.

Outros documentos relacionados estão disponíveis em /en/legal.