Como tratamos dados, quais headers protegem suas requests, quais terceiros processam informação e qual é o nosso roadmap de certificações.
Última atualização: 11 de maio de 2026 · Próxima auditoria interna: novembro/2026
Todos os 10 headers abaixo são aplicados a todas as respostas HTTP em www.cyberatlas.com.br. Verificáveis com curl -sI https://www.cyberatlas.com.br/.
Strict-Transport-Securitymax-age=63072000; includeSubDomains; preload
HSTS preload — força HTTPS em qualquer subdomínio por 2 anos. Domínio inscrito na lista preload do Chrome/Firefox/Safari.
Content-Security-Policydefault-src 'self'; connect-src 'self' https://*.supabase.co wss://*.supabase.co https://api.supabase.com; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' data: blob: https:; font-src 'self' data: https://fonts.gstatic.com; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'; upgrade-insecure-requests; manifest-src 'self'; worker-src 'self' blob:
CSP estrita — bloqueia inline scripts não autorizados, restringe connect-src ao Supabase, fontes apenas via fonts.gstatic.com. frame-ancestors 'none' bloqueia clickjacking.
X-Frame-OptionsDENY
Reforço legacy de frame-ancestors. Sem iframe embedding em nenhum contexto.
X-Content-Type-Optionsnosniff
Browser respeita Content-Type declarado pelo servidor — sem MIME sniffing.
Referrer-Policystrict-origin-when-cross-origin
Não vaza path de URL para domínios externos (apenas origin).
Permissions-Policygeolocation=(), microphone=(), camera=(), payment=(), usb=(), magnetometer=(), gyroscope=(), accelerometer=(), interest-cohort=()
Bloqueia APIs sensíveis (câmera, microfone, geolocalização, pagamento, USB, sensores).
Cross-Origin-Opener-Policysame-origin
Isola browsing context — defesa contra cross-origin window attacks (Spectre).
Cross-Origin-Resource-Policysame-origin
Bloqueia inclusão cross-origin de recursos da CyberAtlas.
X-Permitted-Cross-Domain-Policiesnone
Bloqueia cross-domain policy files (Adobe Flash legacy attack surface).
X-DNS-Prefetch-Controloff
Desativa pre-resolução DNS automática — reduz fingerprint de navegação.
Toda tabela raiz tem coluna organization_id. Nenhum query escapa do tenant — RLS canônica via função user_org_ids() SECURITY DEFINER STABLE garante isolamento mesmo quando código aplicação tem bug. Cross-tenant leak é arquiteturalmente impossível.
Autorização não usa role = 'admin' hardcoded — usa has_permission(user, permission_key). Cada role agrupa N permissions; permissions são auditáveis e versionadas.
Tabela audit_log sem policies de UPDATE ou DELETE — só INSERT. Retenção mínima de 7 anos. Eventos críticos (login, MFA, mudança de role, export, deleção) são registrados com payload JSON e timestamp servidor.
Engines críticas (scoring-engine, maturity engine, asm-score, asm-maturity-mapping) são marcadas como sealed — mudanças exigem audit override e re-validação completa. Garante reprodutibilidade dos scores ao longo de releases.
Lista pública dos vendors que tratam dados de clientes em nome da CyberAtlas. Cada um tem DPA (Data Processing Agreement) acessível abaixo. Mudanças nesta lista são notificadas com 30 dias de antecedência.
| Fornecedor | Finalidade | Localização | DPA |
|---|---|---|---|
| Supabase Inc. | PostgreSQL + Auth + Edge Functions + Storage | US (multi-region) | supabase.com/dpa |
| Vercel Inc. | Hospedagem frontend + CDN + serverless edge | US/Global (gru1 SP para BR) | vercel.com/legal/dpa |
| Resend Inc. | E-mail transacional | US | resend.com/legal/dpa |
| Hostinger International Ltd. | Mailbox contato@ (caixa empresarial) | EU/Global | suporte@hostinger.com |
Política de Privacidade + DPO designado + canal de comunicação ativo (dpo@cyberatlas.com.br).
Relatório executivo disponível sob NDA mediante solicitação comercial.
Q3/2026 target via Vanta ou Drata — coverage Security/Availability/Confidentiality.
Planned 2027 após estabilização do escopo SOC 2.
Se sua equipe de procurement, GRC ou jurídico precisa de detalhes adicionais — relatório executivo do pentest, DPA assinado, ou diligência específica — fale conosco.
Última auditoria interna: 11 de maio de 2026 · Próxima auditoria: novembro/2026 · Responsável: dpo@cyberatlas.com.br