Isolamento multi-tenant
Cada escritório (tenant) opera em escopo isolado. Políticas de Row Level Security (RLS) no banco restringem acesso aos dados do tenant. Membros só visualizam clientes e documentos autorizados.
Criptografia
- CNPJ: cifrado em repouso com AES-256-GCM; busca por HMAC sem expor o documento em plaintext no banco.
- Documentos contábeis sensíveis: campos como número de documento cifrados em repouso.
- Trânsito: HTTPS/TLS em todas as comunicações com a plataforma e APIs.
IA e minimização
O agente de IA utiliza identificadores internos (client_id, razão social) — não envia CNPJ descriptografado a modelos de linguagem, prompts, RAG ou logs. Históricos contábeis usados em RAG não incluem documentos cifrados após persistência.
Autenticação
Senhas gerenciadas pelo Firebase Auth (hash seguro). Cadastro exige confirmação por e-mail antes do primeiro acesso. Sessões via cookies httpOnly. Convites de equipe registrados em trilha de auditoria.
Monitoramento
Erros e traces podem ser enviados a ferramentas compatíveis com Sentry/GlitchTip e Langfuse, configuradas para não capturar PII por padrão. CNPJ e dados sensíveis não devem aparecer em logs de aplicação.
Infraestrutura
Dados persistidos em Supabase (PostgreSQL), região sa-east-1. Backups e políticas de acesso conforme contrato com o provedor.
Incidentes
Em caso de incidente de segurança com risco aos titulares, notificaremos conforme LGPD e contratos aplicáveis. Reporte vulnerabilidades: privacidade@contia.com.
Detalhes legais sobre tratamento de dados: Política de Privacidade.