Nossa filosofia de segurança
Na Growth Store, segurança não é uma funcionalidade — é a base sobre a qual toda a plataforma foi construída. Sabemos que nossos clientes confiam a nós dados críticos de negócio: contratos, fornecedores, estratégias de compra, integrações com ERPs e muito mais. Essa responsabilidade guia cada decisão técnica e organizacional que tomamos.
Nossa abordagem segue o princípio de segurança em profundidade: múltiplas camadas de proteção que operam simultaneamente para que, mesmo que uma barreira seja desafiada, as demais continuem protegendo seus dados.
1. Infraestrutura e Hospedagem
A plataforma Growth Store opera sobre infraestrutura de nuvem de nível enterprise, projetada para alta disponibilidade, resiliência e isolamento de dados.
Arquitetura em nuvem — utilizamos provedores com certificações SOC 2 Type II, ISO 27001 e conformidade com a LGPD, com data centers localizados no Brasil para garantir a soberania dos dados dos nossos clientes.
Isolamento de ambientes — cada cliente opera em um ambiente logicamente isolado. Os dados de uma organização nunca se misturam com os de outra, nem mesmo em processos da Sofia AI.
Alta disponibilidade — infraestrutura com redundância geográfica, balanceamento de carga e failover automático, garantindo continuidade operacional mesmo em cenários de falha parcial.
Backups automáticos — cópias de segurança realizadas diariamente com retenção de 30 dias, armazenadas em ambiente segregado e criptografado. Testes de restauração são executados periodicamente para garantir a integridade dos backups.
2. Criptografia
Todos os dados na plataforma Growth Store são protegidos por criptografia robusta em todas as etapas do ciclo de vida.
Em trânsito — toda comunicação entre o navegador do usuário, aplicativos móveis, integrações via API e nossos servidores é protegida por TLS 1.2 ou superior, com certificados SSL/TLS renovados automaticamente. Conexões não seguras são bloqueadas.
Em repouso — dados armazenados em bancos de dados, sistemas de arquivos e backups são criptografados com AES-256, padrão adotado por instituições financeiras e governos ao redor do mundo.
Gerenciamento de chaves — as chaves criptográficas são gerenciadas por serviços dedicados de KMS (Key Management Service), com rotação periódica e auditoria de acesso, sem exposição em código ou configurações.
Senhas — credenciais de usuários nunca são armazenadas em texto simples. Utilizamos hashing com algoritmos modernos e resistentes a ataques de força bruta.
3. Controle de Acesso
A Growth Store adota o princípio do menor privilégio: cada usuário, sistema e processo acessa apenas o que é estritamente necessário para sua função.
Autenticação multifator (MFA) — disponível e recomendada para todos os usuários. Para acessos com permissões administrativas, o MFA pode ser exigido como política obrigatória pelo administrador da organização.
Single Sign-On (SSO) — suporte a integração com provedores de identidade corporativos via SAML 2.0 e OAuth 2.0, permitindo que as empresas gerenciem o acesso à Growth Store dentro da sua política de identidade existente.
Controle de acesso baseado em perfis (RBAC) — permissões granulares por produto, módulo e ação. O administrador da organização define o que cada usuário pode ver, editar, aprovar ou exportar dentro da plataforma.
Sessões seguras — sessões inativas são encerradas automaticamente. Tokens de autenticação têm validade limitada e são invalidados no logout.
Auditoria de acessos — todos os logins, acessos a dados sensíveis e ações administrativas são registrados em logs imutáveis com data, hora, usuário e IP de origem.
4. Segurança no Desenvolvimento
Segurança começa no código. Nossa equipe de engenharia segue práticas de Secure Software Development Lifecycle (SSDLC) em todas as etapas de desenvolvimento da plataforma.
Revisão de código com foco em segurança — pull requests passam por revisão obrigatória, incluindo análise de vulnerabilidades comuns (OWASP Top 10) antes de qualquer deploy em produção.
Testes automatizados de segurança — análise estática de código (SAST) e análise de dependências com ferramentas especializadas integradas ao pipeline de CI/CD, identificando vulnerabilidades antes que o código chegue ao ambiente produtivo.
Gestão de dependências — bibliotecas e componentes de terceiros são monitorados continuamente para identificação de vulnerabilidades conhecidas (CVEs), com política de atualização prioritária para correções críticas.
Ambientes segregados — desenvolvimento, homologação e produção são ambientes completamente separados. Dados reais de clientes nunca são utilizados em ambientes de desenvolvimento ou testes.
5. Testes e Avaliação Contínua
A Growth Store realiza avaliações regulares para identificar e corrigir vulnerabilidades antes que se tornem riscos.
Testes de penetração (Pentest) — realizados periodicamente por empresas especializadas e independentes, simulando ataques reais para identificar pontos de fragilidade na plataforma, infraestrutura e APIs.
Varreduras de vulnerabilidades — scans automatizados de segurança executados continuamente, com alertas em tempo real para equipes técnicas.
Bug Bounty — incentivamos pesquisadores de segurança a reportar vulnerabilidades de forma responsável.
Caso você tenha identificado uma falha de segurança, entre em contato pelo e-mail seguranca@growthstore.com.br antes de qualquer divulgação pública.
6. Segurança Operacional
Monitoramento 24/7 — nossa infraestrutura é monitorada continuamente por sistemas de detecção de anomalias, alertas de comportamento suspeito e análise de logs em tempo real.
Proteção contra ataques — firewalls de aplicação web (WAF), proteção anti-DDoS, rate limiting em APIs e bloqueio automático de origens maliciosas conhecidas.
Gestão de vulnerabilidades — patches de segurança críticos são aplicados em até 24 horas após disponibilização. Correções de severidade alta são aplicadas em até 7 dias. Nosso processo de gestão de patches é documentado e auditável.
Controles de rede — segmentação de rede, microsegmentação entre serviços, VPNs para acesso administrativo e regras de firewall baseadas em whitelist para acessos privilegiados.
7. Segurança da Sofia AI
A inteligência artificial Sofia foi projetada com privacidade e segurança como requisitos fundamentais, não como complementos.
Isolamento de modelos por cliente — os dados de um cliente não são utilizados para treinar ou influenciar os modelos que atendem outros clientes. Cada organização opera em um contexto de IA isolado.
Dados mínimos necessários — a Sofia AI processa apenas os dados necessários para a tarefa solicitada, sem retenção de informações além do escopo da interação.
Rastreabilidade — as ações e recomendações geradas pela Sofia AI são registradas e auditáveis, permitindo que administradores revisem o histórico de automações realizadas.
Sem uso para treinamento externo — os dados dos clientes não são utilizados para treinamento de modelos de uso geral ou compartilhados com terceiros para fins de IA.
8. Conformidade e Certificações
A Growth Store está comprometida com a conformidade regulatória e busca continuamente o alinhamento com os padrões mais rigorosos do setor.
LGPD (Lei nº 13.709/2018) — plataforma desenvolvida em conformidade com a Lei Geral de Proteção de Dados, com controles técnicos e organizacionais para garantir os direitos dos titulares.
ISO 27001 — nosso programa de segurança da informação segue os requisitos da norma ISO 27001, referência global em gestão de segurança da informação.
SOC 2 Type II — em processo de certificação, com auditorias independentes dos controles de segurança, disponibilidade, confidencialidade e privacidade.
Marco Civil da Internet — total conformidade com a Lei nº 12.965/2014, incluindo guarda de logs de acesso conforme os prazos legais estabelecidos.
Relatórios de conformidade e questionários de segurança (VSAQ, SIG) podem ser solicitados por clientes e prospects mediante acordo de confidencialidade, pelo e-mail seguranca@growthstore.com.br.
9. Gestão de IncidentesTemos um processo formal e testado de resposta a incidentes de segurança, com papéis definidos, playbooks documentados e comunicação clara.
Detecção e contenção — incidentes são detectados por sistemas automatizados e pelo time de segurança, com protocolos de isolamento imediato para limitar o impacto.
Notificação ao Cliente — em caso de incidente que afete dados do Cliente, notificaremos os responsáveis em até 72 horas após a confirmação, conforme exigido pela LGPD, com informações sobre a natureza do incidente, dados afetados e medidas tomadas.
Notificação à ANPD — incidentes com potencial risco relevante aos titulares serão reportados à Autoridade Nacional de Proteção de Dados dentro dos prazos legais estabelecidos.
Pós-incidente — após cada incidente, realizamos análise de causa raiz e implementamos melhorias para evitar recorrência. Um relatório de lições aprendidas é compartilhado internamente e, quando relevante, com os clientes afetados.
10. Responsabilidades Compartilhadas
A segurança da plataforma é uma responsabilidade compartilhada entre a Growth Store e os Clientes.
Enquanto a Growth Store é responsável pela segurança da plataforma, o Cliente é responsável pela segurança dentro da plataforma.
Growth Store é responsável por: infraestrutura, criptografia, código da plataforma, controles de acesso ao nível do sistema, backups, monitoramento e resposta a incidentes de origem interna.
O Cliente é responsável por: gestão de usuários e permissões dentro da organização, ativação e uso do MFA, segurança dos dispositivos utilizados para acesso, confidencialidade das credenciais, e configuração adequada das integrações e APIs.
Recomendamos que os administradores das organizações revisem periodicamente os acessos ativos, desativem contas de colaboradores desligados e ativem o MFA para todos os usuários.
11. Segurança para Fornecedores e Parceiros
Todos os fornecedores e parceiros que têm acesso a dados da Growth Store ou de seus clientes passam por avaliação de segurança antes da contratação e estão sujeitos a acordos contratuais específicos de proteção de dados e confidencialidade.
Adotamos uma abordagem de Zero Trust para acessos de terceiros: sem presunção de confiança implícita, com autenticação rigorosa, acesso mínimo necessário e auditoria completa de todas as interações.
12. Boas Práticas para os Usuários
Para maximizar a segurança da sua conta e dos dados da sua organização, recomendamos:Ative o MFA para todos os usuários, especialmente administradores.
Use senhas únicas e fortes — considere um gerenciador de senhas corporativo. Nunca compartilhe credenciais entre usuários — cada pessoa deve ter seu próprio acesso. Revise periodicamente as permissões e acessos ativos na sua organização.
Fique atento a e-mails suspeitos: a Growth Store nunca pedirá sua senha por e-mail. Reporte imediatamente qualquer atividade estranha em seguranca@growthstore.com.br. Mantenha os dispositivos e sistemas operacionais utilizados para acesso à plataforma sempre atualizados.
13. Contato com o Time de Segurança
Para reportar vulnerabilidades, solicitar documentação de segurança ou tirar dúvidas sobre nossas práticas:
E-mail de segurança: seguranca@growthstore.com.br
Divulgação responsável: Para reporte de vulnerabilidades, solicitamos que não divulgue publicamente antes de nos contatar. Comprometemo-nos a responder em até 5 dias úteis e a trabalhar com você na resolução antes de qualquer publicação.
Growth Store — Menos espera. Mais resultado.
