Segurança

Resumo das práticas de segurança esperadas na operação do produto TaskFlow. Este documento é informativo e deve ser alinhado com a sua política interna e com controlos reais do ambiente em produção.

Transporte e sessões

O site deve ser servido sobre HTTPS em produção. Tokens de sessão e credenciais devem ser protegidos contra exposição em registos públicos ou repositórios.

Dados em repouso

A persistência utiliza base de dados gerida (por exemplo Postgres na Neon ou equivalente). Garanta backups, controlo de acesso à instância e rotação de segredos de ligação.

Pagamentos

Dados sensíveis de cartão são tratados por Stripe ou Mercado Pago conforme integração; não armazene PAN/CVV na aplicação.

Autenticação

O fluxo de login assenta no prestador de identidade configurado (por exemplo Neon Auth). Active MFA nas contas administrativas dos prestadores sempre que disponível.

Auditoria e permissões

Funcionalidades administrativas podem registar acções relevantes; restrinja papéis de administrador ao mínimo necessário e reveja membros periodicamente.

Reporte de vulnerabilidades

Para reportar uma falha de segurança, utilize o canal em Contato com assunto «Security disclosure» — indique impacto reproduzível sem explorar dados de terceiros.