Segurança como fundação

Seu dado financeiro é o ativo
mais sensível que existe.

Por isso a segurança não é um recurso — é a fundação. Construímos seguindo as boas práticas das ISO 27001, 27701, 42001 e da LGPD — desde o primeiro dia, antes mesmo dos selos.

Transparência: ainda não somos certificados — e a gente prefere contar isso na cara.

Somos uma startup. As certificações ISO 27001, 27701 e 42001 são auditorias externas caras e demoradas, e ainda não as temos. Seria fácil estampar um selo bonito aqui — escolhemos a verdade.

O que fazemos desde a primeira linha de código: implementamos as boas práticas dessas normas e da LGPD, porque ser responsável com o dinheiro e os dados de quem confia na gente é inegociável — é o mínimo, não um diferencial. Conforme crescermos, vamos atrás de cada certificação formal; quando conquistarmos uma, ela aparece aqui, datada. Pra gente, segurança é compromisso — não é marketing.

O que já fazemos na prática

Os controles destas normas já estão na fundação do produto — a prática é desde o dia um. O selo formal vem com o tempo, como explicamos acima.

ISO 27001 — Segurança

RLS em 100% das tabelas, MFA para admin, TLS 1.3 + AES-256, audit trail imutável, backup diário com teste de restore, segregação de deveres.

ISO 27701 — Privacidade

Consentimento com registro, direitos do titular (acesso, correção, exclusão, portabilidade), DPO designado, sub-processadores documentados, retenção e purge automáticos.

ISO 42001 — IA responsável

Cada recomendação marcada e auditada, human-in-the-loop em decisões financeiras, seus dados nunca treinam modelos, zero data retention na IA.

🇧🇷 LGPD — na prática

Política de privacidade, canal do titular, exportar/excluir meus dados, mapa de dados, retenção definida, plano de incidentes.

Suas finanças pessoais são intocáveis

O módulo pessoal do dono é criptografado e isolado de forma que nem o nosso time de suporte acessa. Confiança Zero: tudo é verificado, nada é confiado implicitamente.

Princípios de Confiança Zero

Defesa no banco

Toda query filtrada por RLS no Postgres — não no frontend.

Tudo auditado

Cada acesso e cada decisão de IA fica registrado.

Pagamento tokenizado

Dados de cartão nunca tocam nosso servidor (PCI via gateway).