Voltar ao site
§ modoGESTOR · legal ·

Política de Segurança da Informação

Como protegemos seus dados e o que fazer em caso de incidente

Para Ambos Versão 1.0 Atualizado em 08 de março de 2026 Leitura ~6 min
tl;dr

Resumo executivo

  • Dados armazenados na AWS Brasil (sa-east-1), criptografados em trânsito (TLS 1.3) e em repouso (AES-256).
  • Não armazenamos números de cartão de crédito — tokenização via Stripe e Mercado Pago (PCI DSS Level 1).
  • Senhas com hash bcrypt/argon2. Controle de acesso por permissões. Logs de auditoria.
  • Backup automático diário com retenção de 30 dias. Procedimentos de recuperação testados periodicamente.
  • Em caso de incidente com risco relevante, notificação à ANPD e aos titulares em prazo razoável.

ⓘ Este resumo é orientativo. O texto integral abaixo prevalece em qualquer divergência.

1. Compromisso com a segurança

A segurança dos dados que você confia ao modoGESTOR é responsabilidade que a MODOPAG FINTECH LTDA leva a sério. Esta política descreve as medidas técnicas e organizacionais que adotamos para proteger informações pessoais, financeiras e operacionais — conforme exigido pela LGPD (art. 46–49) e pelas melhores práticas de segurança da informação.

2. Infraestrutura

a) Hospedagem: toda a plataforma roda na Amazon Web Services (AWS) — região sa-east-1 (São Paulo, Brasil). Os dados ficam fisicamente em território brasileiro.

b) Isolamento: ambientes de produção, homologação e desenvolvimento são totalmente isolados. Dados de produção nunca são copiados para outros ambientes.

c) Alta disponibilidade: a infraestrutura conta com múltiplas zonas de disponibilidade (multi-AZ) para minimizar indisponibilidades por falhas isoladas.

3. Criptografia

Onde Padrão
Em trânsito (navegador ↔ servidor) TLS 1.3 com cipher suites modernas, HSTS habilitado, certificados emitidos automaticamente
Em repouso (banco de dados) AES-256 via AWS RDS encryption-at-rest
Backups AES-256 com chaves gerenciadas pela AWS KMS
Senhas dos usuários Hash com bcrypt/argon2 + salt único. Nunca armazenamos senhas em texto claro.

4. Pagamentos e dados de cartão

O modoGESTOR não armazena dados de cartão de crédito. Toda a tokenização e processamento é feito pelos parceiros Stripe (cobrança da assinatura) e Mercado Pago (pagamentos dos Clientes Finais) — ambos certificados PCI DSS Level 1, o padrão mais alto da indústria.

O que armazenamos é apenas um token — uma referência opaca que permite cobrar você novamente sem ter acesso ao número real do cartão. Em caso de vazamento da nossa base, os tokens não têm valor fora da relação com Stripe/Mercado Pago.

5. Controle de acesso

a) Autenticação obrigatória em todas as áreas restritas da plataforma.

b) Permissões granulares: dentro de uma barbearia, o Contratante pode definir o que cada profissional acessa (apenas agenda, sem acesso a financeiro, etc.).

c) Logs de auditoria: ações críticas (login, alteração de configurações, exclusão de dados) são registradas com data, hora, IP e usuário responsável. Logs ficam armazenados por 6 meses (Marco Civil da Internet, art. 15).

d) Acesso interno: a equipe MODOPAG tem acesso à infraestrutura sob princípio do menor privilégio. Todo acesso a dados de clientes é registrado e auditado.

6. Backups e recuperação

a) Backups automáticos diários de todos os bancos de dados.

b) Retenção de 30 dias com versionamento. Permite restaurar para qualquer ponto nesse período.

c) Backups armazenados em região AWS separada da produção (resiliência geográfica dentro do Brasil).

d) Procedimentos de restauração testados periodicamente.

7. Disponibilidade do serviço

Objetivo de disponibilidade da plataforma: 99,5% ao mês, excluindo manutenções programadas (sempre comunicadas com antecedência) e eventos de força maior. Métricas de uptime ficam disponíveis no painel administrativo do Contratante.

8. Resposta a incidentes

A MODOPAG mantém um plano formal de resposta a incidentes de segurança da informação, com etapas de:

a) Detecção: monitoramento contínuo, alertas automáticos para padrões anômalos.

b) Contenção: isolar a ameaça e mitigar impacto.

c) Investigação: determinar causa raiz, dados afetados, titulares envolvidos.

d) Notificação: em caso de incidente com risco relevante para titulares, comunicação à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados em prazo razoável, conforme art. 48 da LGPD.

e) Remediação: aplicação de correções, atualização de políticas, treinamento.

9. Comunicar uma vulnerabilidade

Se você encontrou uma vulnerabilidade de segurança no modoGESTOR, agradecemos imensamente o reporte responsável. Envie detalhes técnicos para contato@modogestor.com.br com o assunto "[SEGURANÇA] — descoberta de vulnerabilidade". Responderemos em até 5 dias úteis. Pedimos que não divulgue publicamente antes de termos chance de corrigir.

10. Boas práticas para o Contratante

A segurança da sua barbearia também depende de você:

a) Use senha forte e única (mínimo 10 caracteres, com letras, números e símbolos).

b) Não compartilhe credenciais com terceiros.

c) Crie usuários separados para cada profissional da equipe, em vez de compartilhar uma conta.

d) Saia do painel quando terminar de usar em dispositivos compartilhados.

e) Mantenha seu navegador e sistema operacional atualizados.

f) Em caso de suspeita de acesso indevido, troque imediatamente sua senha e nos comunique.

11. Treinamento da equipe

A equipe da MODOPAG recebe treinamento periódico sobre LGPD, segurança da informação e práticas seguras de desenvolvimento. Acessos privilegiados ficam restritos a pessoas com necessidade comprovada (princípio do menor privilégio).

12. Contato

MODOPAG FINTECH LTDA E-mail geral: contato@modogestor.com.br
Reporte de vulnerabilidade: contato@modogestor.com.br (assunto: "[SEGURANÇA]")
Encarregado de Dados (DPO): contato@modogestor.com.br