Pular para o conteúdo
Segurança

Segurança no Urplux

Atualizado em junho de 2026

O Urplux trata dados de treinamento de colaboradores das empresas-cliente. Por isso, a segurança e a privacidade são parte do produto, não um adendo. Abaixo, o que protege esses dados na prática, nossa postura de conformidade e o canal para reportar vulnerabilidades.

Isolamento por empresa (multi-tenant)

Cada empresa-cliente é isolada: toda consulta ao banco filtra pelos dados da empresa da sessão, no padrão fail-closed (na dúvida, nega). Um colaborador ou gestor de uma empresa não acessa dados de outra. Esse isolamento é coberto por testes automatizados de segurança que rodam a cada mudança no código.

Criptografia e transporte

  • HTTPS obrigatório em todo o tráfego (HSTS): o navegador só fala com o Urplux por conexão segura.
  • Política de Segurança de Conteúdo (CSP) restrita: o site só carrega recursos da própria origem, sem scripts ou rastreadores de terceiros.
  • Cabeçalhos de proteção: anti-clickjacking (X-Frame-Options), anti-sniffing (X-Content-Type-Options), Referrer-Policy e Permissions-Policy.

Autenticação e acesso

  • Senhas guardadas apenas como hash (scrypt), nunca em texto.
  • Sessão em cookie HttpOnly, Secure e SameSite, com expiração; troca de senha forçada no primeiro acesso.
  • Controle de acesso por papel (colaborador, gestor, administração) e rate-limit anti-força-bruta no login e em ações sensíveis.
  • Segredos ficam só no servidor (nunca no navegador); tokens internos sensíveis comparados em tempo constante.

Evidência à prova de adulteração

É o coração do produto. A evidência de treinamento é feita para se sustentar numa auditoria:

  • Cada conclusão de aula, nota de quiz e certificado é registrado numa cadeia encadeada por HMAC-SHA256: alterar ou apagar um evento quebra a cadeia e fica detectável.
  • O certificado é assinado e tem código de verificação público: confere titular, curso e validade sem depender de confiança no portador.
  • O gabarito dos quizzes vive só no servidor: a correção é autoritativa no servidor e a resposta certa nunca é enviada ao navegador antes do envio.

Privacidade e LGPD

  • Cookies essenciais apenas: sem publicidade nem rastreamento de terceiros; medição de uso cookieless e agregada.
  • Retenção mínima com expurgo automático de logs e dados além do prazo.
  • Atendimento ao direito de eliminação (art. 18 da LGPD): remover um titular apaga o progresso e a telemetria associada.
  • Disponibilizamos Acordo de Tratamento de Dados (DPA) a cada cliente, e mantemos Privacidade, Retenção e Subprocessadores públicas.

Conformidade e roadmap

Nossa conformidade é ancorada na LGPD e nas práticas descritas acima. Certificações internacionais como SOC 2 e ISO 27001 integram nosso roadmap, a serem conduzidas conforme a demanda dos clientes evolui. Preferimos declarar o que de fato fazemos a alegar selos que ainda não temos.

Hospedagem

Aplicação em infraestrutura gerenciada (Vercel) e dados em banco gerenciado (libSQL/Turso), isolados por empresa. Os vídeos das aulas são servidos com marca d'água e medição de visualização.

Reportar uma vulnerabilidade (divulgação responsável)

Encontrou uma possível falha? Agradecemos o reporte responsável. Envie para seguranca@urplux.com com descrição, passos para reproduzir, impacto e (se possível) prova de conceito. Confirmamos o recebimento em até 3 dias úteis e informamos o andamento até a correção.

Porto seguro (safe harbor): não tomaremos medidas legais contra pesquisas de boa-fé que respeitem a privacidade de terceiros, não degradem o serviço e não retenham dados além do necessário para demonstrar a falha. Dê-nos tempo razoável para corrigir antes de qualquer divulgação pública.

No escopo: a aplicação e suas APIs (autenticação/sessão, escalonamento de privilégio, vazamento entre empresas, injeção, exposição de dados, forja de quiz ou certificado). Fora do escopo: DoS/DDoS, engenharia social, spam e relatórios de scanners automatizados sem impacto demonstrável.