Como protegemos seus dados
Engenharia direta, sem teatro de segurança. Aqui está o que escolhemos, por que escolhemos e como você pode verificar.
Azure Brazil South
Dados hospedados em São Paulo (region brazilsouth). Não saem do Brasil em operação normal.
Criptografia TLS 1.3 + AES-256
TLS 1.3 em todo tráfego de entrada e AES-256 em volumes de banco e backups gerenciados.
Isolamento por cliente
Dados de uma carteira nunca aparecem em outra. Filtros por tenant em todas as queries de leitura.
Webhook resiliente
Idempotência por job_id e retry com backoff (5/10/15min). Assinatura HMAC-SHA256 entra no Q2 2026.
A fonte é a SEFAZ — sem cache quando importa
Cada consulta sai da nossa infraestrutura, bate na webservice oficial da SEFAZ e devolve o status atual da NF-e. Não interpolamos, não adivinhamos a partir de bases secundárias e não servimos um valor antigo como se fosse atual.
Quando a SEFAZ está fora do ar, a resposta é honesta: devolvemos o erro real (com o cStat e a mensagem do órgão) em vez de mascarar com um cacheado obsoleto. Para credores, isso é o que separa decisão informada de decisão cega.
Em fluxos onde reaproveitar uma resposta recente faz sentido (por exemplo, em monitoramento contínuo da mesma chave dentro do mesmo ciclo de polling), o reaproveitamento é explícito, com timestamp da captura visível na resposta — você sempre sabe se o dado foi colhido agora ou há minutos.
Hospedagem brasileira, criptografia padrão da indústria
- Microsoft Azure region brazilsouth (São Paulo). Dados em repouso permanecem no Brasil. Não usamos regiões internacionais para servir tráfego operacional.
- TLS 1.3 em todas as conexões de entrada. Cloudflare na borda, headers HSTS configurados, certificados gerenciados sem rotação manual.
- AES-256 em repouso. Volumes do PostgreSQL e armazenamento de objetos criptografados pelo provedor; chaves rotacionadas pelo serviço gerenciado.
- Backups diários do banco transacional com retenção de 7 dias para point-in-time recovery, mais snapshots semanais retidos por 30 dias. Restauração testada periodicamente.
- Segredos em Azure Key Vault. Credenciais de API e certificados digitais vivem no Key Vault e são acessadas via Managed Identity — nada hardcoded em imagem ou variável de ambiente sensível.
O que é seu fica seu
Cada cliente tem um identificador de tenant que acompanha 100% das queries de leitura. Não existe consulta administrativa que cruze dados entre carteiras sem um filtro de tenant explícito — é uma invariante do schema, não uma convenção.
Cancelamentos, eventos de manifestação e histórico de uma operação jamais aparecem em painel de outro cliente. Resultados de consulta pública gratuita são isolados por IP e expirados rapidamente.
Entrega previsível, com retry
Idempotente
Cada evento traz job_id único — use como chave de dedup. Receber 2x (timeout no seu lado) não duplica efeito.
Retry com backoff
Devolva 2xx em até 10s pra confirmar. Não-2xx ou timeout: retentamos em 5min, 10min, 15min. Após 3 tentativas marcamos como falha.
HMAC-SHA256 · roadmap Q2
Assinatura dos webhooks com chave secreta entra no Q2 2026. Até lá, valide a fonte por IP allowlist ou token na URL do callback.
Quem do VigiaXML pode ver o quê
- Acesso administrativo é nominal — exige login com senha forte (BCrypt cost 10), sessão server-side revogável, rate limit 10 tentativas/IP/min, e 2FA TOTP em rollout Q2 2026.
- Todo POST/PUT/PATCH/DELETE no painel admin deixa registro auditável (actor, IP, recurso, timestamp).
- Leitura de dados de cliente sem necessidade operacional não acontece — e quando acontece, fica logada.
- Nenhum operador acessa dados de produção a partir de máquina pessoal sem rede gerenciada.
O que guardamos e por quanto tempo
| Categoria | Retenção | Finalidade |
|---|---|---|
| Logs de consulta e monitoramento | 24 meses | Auditoria, cobrança e suporte |
| Logs de acesso ao painel admin | 24 meses | Investigação de incidente, conformidade |
| Logs técnicos do site | 90 dias | Detecção de abuso, depuração |
| Snapshots de webhook entregue | 30 dias | Reentrega manual, depuração de integração |
| Após cancelamento da conta | 6 meses | Resolução de pendências e portabilidade; depois eliminamos |
Retenção fiscal segue obrigação legal específica (5 anos para faturas e dados tributários).
Encarregado de Dados (DPO) e seus direitos
Operamos em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018). Nosso DPO atende pelo e-mail dpo@vigiaxml.com — canal direto para acesso, correção, eliminação e portabilidade dos dados pessoais que tratamos. Respondemos em até 15 dias corridos.
O detalhamento completo (bases legais por finalidade, com quem compartilhamos, direitos do titular) está em Privacidade & LGPD.
Em caso de incidente de segurança envolvendo seus dados, comunicamos em até 72 horas com o que aconteceu, o que estamos fazendo e o que você precisa fazer.
Precisa de mais detalhes para um comitê?
Para due diligence formal, questionários de fornecedor ou contrato com cláusulas específicas, fale com a gente — montamos o pacote.