Autenticação e acesso
- Login com e-mail e senha, com opção de Google
- Sessões gerenciadas com tokens de curta duração
- Papéis (roles) separados em tabela dedicada — sem escalada por manipulação de perfil
Proteção de dados
- Tráfego cliente-servidor cifrado com HTTPS (TLS 1.2+)
- Row-Level Security em todas as tabelas do banco
- Dados sensíveis de doador (nome, e-mail, CPF) não expostos em rotas públicas
- Chaves de API mantidas fora do repositório e injetadas em runtime
Cabeçalhos e políticas web
- Content-Security-Policy restritiva
- Strict-Transport-Security, X-Content-Type-Options, Referrer-Policy
- Cookies de sessão com atributos Secure e HttpOnly
Auditoria
Trilha de auditoria de mudanças de status de doações, alterações de chave PIX e ações administrativas. Consultável por administradores autorizados.
Divulgação responsável
Encontrou uma vulnerabilidade? Reporte de forma coordenada em contato@doarconecta.com. Não exploramos, não expomos e agradecemos publicamente pesquisadores que seguem a política de disclosure.
Resposta a incidentes
Em caso de incidente relevante que envolva dados pessoais, notificamos titulares e a ANPD conforme prazos e requisitos da LGPD.