Segurança

Segurança da plataforma

Esta página descreve controles atualmente ativos na Doar Conecta. Não é uma certificação independente.

Autenticação e acesso

  • Login com e-mail e senha, com opção de Google
  • Sessões gerenciadas com tokens de curta duração
  • Papéis (roles) separados em tabela dedicada — sem escalada por manipulação de perfil

Proteção de dados

  • Tráfego cliente-servidor cifrado com HTTPS (TLS 1.2+)
  • Row-Level Security em todas as tabelas do banco
  • Dados sensíveis de doador (nome, e-mail, CPF) não expostos em rotas públicas
  • Chaves de API mantidas fora do repositório e injetadas em runtime

Cabeçalhos e políticas web

  • Content-Security-Policy restritiva
  • Strict-Transport-Security, X-Content-Type-Options, Referrer-Policy
  • Cookies de sessão com atributos Secure e HttpOnly

Auditoria

Trilha de auditoria de mudanças de status de doações, alterações de chave PIX e ações administrativas. Consultável por administradores autorizados.

Divulgação responsável

Encontrou uma vulnerabilidade? Reporte de forma coordenada em contato@doarconecta.com. Não exploramos, não expomos e agradecemos publicamente pesquisadores que seguem a política de disclosure.

Resposta a incidentes

Em caso de incidente relevante que envolva dados pessoais, notificamos titulares e a ANPD conforme prazos e requisitos da LGPD.