Segurança no Urplux
Atualizado em junho de 2026
O Urplux trata dados de treinamento de colaboradores das empresas-cliente. Por isso, a segurança e a privacidade são parte do produto, não um adendo. Abaixo, o que protege esses dados na prática, nossa postura de conformidade e o canal para reportar vulnerabilidades.
Isolamento por empresa (multi-tenant)
Cada empresa-cliente é isolada: toda consulta ao banco filtra pelos dados da empresa da sessão, no padrão fail-closed (na dúvida, nega). Um colaborador ou gestor de uma empresa não acessa dados de outra. Esse isolamento é coberto por testes automatizados de segurança que rodam a cada mudança no código.
Criptografia e transporte
- HTTPS obrigatório em todo o tráfego (HSTS): o navegador só fala com o Urplux por conexão segura.
- Política de Segurança de Conteúdo (CSP) restrita: o site só carrega recursos da própria origem, sem scripts ou rastreadores de terceiros.
- Cabeçalhos de proteção: anti-clickjacking (
X-Frame-Options), anti-sniffing (X-Content-Type-Options),Referrer-PolicyePermissions-Policy.
Autenticação e acesso
- Senhas guardadas apenas como hash (scrypt), nunca em texto.
- Sessão em cookie HttpOnly, Secure e SameSite, com expiração; troca de senha forçada no primeiro acesso.
- Controle de acesso por papel (colaborador, gestor, administração) e rate-limit anti-força-bruta no login e em ações sensíveis.
- Segredos ficam só no servidor (nunca no navegador); tokens internos sensíveis comparados em tempo constante.
Evidência à prova de adulteração
É o coração do produto. A evidência de treinamento é feita para se sustentar numa auditoria:
- Cada conclusão de aula, nota de quiz e certificado é registrado numa cadeia encadeada por HMAC-SHA256: alterar ou apagar um evento quebra a cadeia e fica detectável.
- O certificado é assinado e tem código de verificação público: confere titular, curso e validade sem depender de confiança no portador.
- O gabarito dos quizzes vive só no servidor: a correção é autoritativa no servidor e a resposta certa nunca é enviada ao navegador antes do envio.
Privacidade e LGPD
- Cookies essenciais apenas: sem publicidade nem rastreamento de terceiros; medição de uso cookieless e agregada.
- Retenção mínima com expurgo automático de logs e dados além do prazo.
- Atendimento ao direito de eliminação (art. 18 da LGPD): remover um titular apaga o progresso e a telemetria associada.
- Disponibilizamos Acordo de Tratamento de Dados (DPA) a cada cliente, e mantemos Privacidade, Retenção e Subprocessadores públicas.
Conformidade e roadmap
Nossa conformidade é ancorada na LGPD e nas práticas descritas acima. Certificações internacionais como SOC 2 e ISO 27001 integram nosso roadmap, a serem conduzidas conforme a demanda dos clientes evolui. Preferimos declarar o que de fato fazemos a alegar selos que ainda não temos.
Hospedagem
Aplicação em infraestrutura gerenciada (Vercel) e dados em banco gerenciado (libSQL/Turso), isolados por empresa. Os vídeos das aulas são servidos com marca d'água e medição de visualização.
Reportar uma vulnerabilidade (divulgação responsável)
Encontrou uma possível falha? Agradecemos o reporte responsável. Envie para seguranca@urplux.com com descrição, passos para reproduzir, impacto e (se possível) prova de conceito. Confirmamos o recebimento em até 3 dias úteis e informamos o andamento até a correção.
Porto seguro (safe harbor): não tomaremos medidas legais contra pesquisas de boa-fé que respeitem a privacidade de terceiros, não degradem o serviço e não retenham dados além do necessário para demonstrar a falha. Dê-nos tempo razoável para corrigir antes de qualquer divulgação pública.
No escopo: a aplicação e suas APIs (autenticação/sessão, escalonamento de privilégio, vazamento entre empresas, injeção, exposição de dados, forja de quiz ou certificado). Fora do escopo: DoS/DDoS, engenharia social, spam e relatórios de scanners automatizados sem impacto demonstrável.