Segurança

• As informações de contato são separadas arquiteturalmente dos dados do perfil da empresa
• Os dados de contato só são exibidos quando o consentimento bilateral for confirmado
• As senhas são hashadas com algoritmos padrão do setor; senhas em texto simples nunca são armazenadas
• As conexões de banco de dados usam TLS em trânsito
• Os bancos de dados de produção usam criptografia em repouso

• Autenticação via NextAuth v5 com rotação de token de sessão
• Proteção CSRF em todos os endpoints mutantes
• Prevenção de injeção SQL via consultas parametrizadas (Prisma ORM)
• Prevenção de XSS via codificação de saída padrão do React
• Controle de acesso baseado em função: participantes não podem acessar endpoints administrativos
• Limitação de taxa em endpoints de autenticação e API (produção)
• Headers Content-Security-Policy (em configuração)

• O acesso da equipe da plataforma aos dados dos participantes é limitado a suporte e necessidade operacional
• Os provedores de IA recebem apenas o pacote de contexto curado, não os dados brutos do perfil
• Os acordos de processamento de dados dos provedores de IA são revisados para conformidade
• Solicitações de exclusão de conta resultarão em anonimização ou exclusão de dados pessoais em 30 dias
• Logs de auditoria são mantidos para ações administrativas

Se você descobrir uma vulnerabilidade de segurança na plataforma CHECKPOINT, por favor reporte-a de forma responsável para support@checkpoint.ai com o assunto "Relatório de Vulnerabilidade de Segurança". Por favor, não divulgue publicamente a vulnerabilidade até que tenhamos tido a oportunidade razoável de investigar e remediar. Confirmaremos o recebimento em até 48 horas.

Lista de verificação pré-lançamento