Respostas curtas e honestas às perguntas que sua equipe de segurança vai fazer.

1. Analytics com privacidade em primeiro lugar

Por ADR-0004, o pipeline de scan nunca registra um endereço IP ou User-Agent bruto. Na ingestão, lemos CF-IPCountry (país) e passamos o UA por uma regex de classe de dispositivo (mobile / tablet / desktop / unknown), então descartamos a string bruta. Dados em nível de cidade são um rollup agregado populado de request.cf.city, sem linha por scan, sem identificador que possa ser associado. Agregados de país abaixo de 5 scans são agrupados em "Other" para impedir a re-identificação.

2. Backups criptografados

Toda noite às 03:00 UTC um Worker separado cria um snapshot do D1 para o R2. Os backups são criptografados com AES-GCM com uma chave de dados rotacionada por KDF envolvida pela BACKUP_ENCRYPTION_KEY. Cada bundle carrega um digest SHA-256 + manifesto para detecção de adulteração (veja a tabela backups). Retenção: 7 anos para tenants Pro. A chave de criptografia é mantida em três cópias independentes (secret do Worker, cofre 1Password, offline lacrado), perder todas as três tornaria os backups históricos irrecuperáveis, portanto a tratamos como um único ponto de verdade operacional.

3. API Shield + CSP estrito

Nossa spec pública OpenAPI 3.1 é carregada no Cloudflare API Shield e cada requisição para /api/* é validada contra ela. O drift de esquema é eliminado por um hook post_deploy que re-envia a spec em cada deploy de produção. No front-end, uma Content Security Policy estrita proíbe scripts inline em todos os lugares, cada página referencia seu JS via <script src>, e nosso make check pré-deploy se recusa a entregar uma página que viole a regra.

4. Log de auditoria + livro-razão GDPR

Cada mutação (criar/patch/excluir código, convite de time, emissão de chave, mudança de plano, edição de webhook) escreve uma linha append-only em audit_log com ator, escopo e timestamp, retida por 180 dias e podada pelo sweeper. O livro-razão de solicitações GDPR (gdpr_requests) rastreia cada exportação / exclusão / restauração; as linhas sobrevivem à exclusão da conta (FK ON DELETE SET NULL, e-mail preservado) para que possamos provar o cumprimento pontual de cada solicitação estatutária anos após o encerramento da conta.

5. Proteções de autenticação

A autenticação é delegada à camada de identidade compartilhada abundera.ai (EdDSA JWT via JWKS). Disponível para clientes Pro:

• 2FA (TOTP), senhas de uso único baseadas em tempo RFC 6238, qualquer aplicativo autenticador padrão, códigos de backup emitidos no cadastro.
• SAML 2.0 SSO, Okta, Entra ID, JumpCloud, Google Workspace, IdPs personalizados. Disponível no Team+ (incluído no Agency/Enterprise).
• Provisionamento SCIM 2.0, ciclo de vida de usuário + grupo RFC 7643/7644, limitado por taxa por token, registrado em auditoria. Desligado por padrão; habilitado por cliente.
• Chaves de API, Business+, armazenadas como sha256(raw); o valor bruto abnd_qrpro_... só é retornado na criação e nunca mais.

6. Subprocessadores

A lista curta: Cloudflare (hospedagem, D1, KV, R2, API Shield), Stripe (pagamentos), Zoho / ZeptoMail (e-mail transacional), Twilio (verificação de telefone + SMS). Veja /trust/subprocessors/ para a lista canônica com regiões, categorias de dados e nosso compromisso de notificação de mudança de 30 dias.

7. Acordo de Processamento de Dados

Nosso DPA alinhado ao GDPR (SCCs da UE, adendo do Reino Unido, adendo FADP suíço) está disponível para download em abundera.ai/legal/dpa/. Aplica-se automaticamente a todos os planos pagos, sem contra-assinatura separada necessária, a menos que seu processo de compras exija uma (assinamos sob demanda em legal@abundera.ai).

8. SOC 2

SOC 2 Tipo II, em andamento, meta T3 2026. Estamos em planejamento de escopo / janela de observação com uma firma de auditoria próxima ao Big-4. Até que o relatório seja emitido, não exibiremos um badge SOC 2. Se a conclusão do SOC 2 for um requisito rígido de compras para você hoje, envie e-mail para enterprise@abundera.ai, podemos compartilhar evidências de controle atuais, nossa descrição de sistema em rascunho e a data de atestado projetada mediante NDA.

9. Zero pixels de terceiros, nunca

Esta é uma promessa estrutural e um limite do produto, não um padrão que poderíamos mudar silenciosamente. Não injetamos Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory nem qualquer outro rastreador de terceiros, nem em nossas respostas de redirecionamento, nem em nossas landing pages hospedadas, nem nas superfícies do painel que seus usuários veem. Quem escaneia seus códigos nunca é alvo de retargeting. Se precisar de atribuição baseada em pixel no seu próprio destino, adicione seus próprios parâmetros UTM (ou pixel) à URL de destino; ficamos fora do loop. O redirecionamento em si é um 302 do nosso worker para sua URL, nada mais é executado.

10. Divulgação responsável

Encontrou algo? Comece em /.well-known/security.txt para o contato atual, chave PGP e escopo. E-mail security@abundera.ai, confirmamos em 24h (dias úteis), realizamos triagem em 72h e coordenamos a correção + divulgação com você. Pesquisadores que reportam de boa-fé recebem crédito público em abundera.ai/security/thanks/ quando uma correção é lançada.

11. Status + uptime

Status ao vivo, saúde dos componentes e histórico de incidentes estão em /status/. O caminho de redirecionamento é monitorado a cada 5 minutos por um Worker externo; componentes degradados ou fora do ar são refletidos na página de status dentro de um ciclo de polling.