Como protegemos seus dados
Engenharia direta, sem teatro de segurança. Aqui está o que escolhemos, por que escolhemos e como você pode verificar.
Azure Brazil South
Dados hospedados em São Paulo (region brazilsouth). Não saem do Brasil em operação normal.
Criptografia TLS 1.3 + AES-256
TLS 1.3 em todo tráfego de entrada e AES-256 em volumes de banco e backups gerenciados.
Isolamento por cliente
Dados de uma carteira nunca aparecem em outra. Filtros por tenant em todas as queries de leitura.
Webhook assinado
HMAC-SHA256 no header x-vigia-signature, idempotência por chave + referência e retry com backoff.
A fonte é a SEFAZ — sem cache quando importa
Cada consulta sai da nossa infraestrutura, bate na webservice oficial da SEFAZ e devolve o status atual da NF-e. Não interpolamos, não adivinhamos a partir de bases secundárias e não servimos um valor antigo como se fosse atual.
Quando a SEFAZ está fora do ar, a resposta é honesta: devolvemos o erro real (com o cStat e a mensagem do órgão) em vez de mascarar com um cacheado obsoleto. Para credores, isso é o que separa decisão informada de decisão cega.
Em fluxos onde reaproveitar uma resposta recente faz sentido (por exemplo, em monitoramento contínuo da mesma chave dentro do mesmo ciclo de polling), o reaproveitamento é explícito, com timestamp da captura visível na resposta — você sempre sabe se o dado foi colhido agora ou há minutos.
Hospedagem brasileira, criptografia padrão da indústria
- Microsoft Azure region brazilsouth (São Paulo). Dados em repouso permanecem no Brasil. Não usamos regiões internacionais para servir tráfego operacional.
- TLS 1.3 em todas as conexões de entrada. Cloudflare na borda, headers HSTS configurados, certificados gerenciados sem rotação manual.
- AES-256 em repouso. Volumes do PostgreSQL e armazenamento de objetos criptografados pelo provedor; chaves rotacionadas pelo serviço gerenciado.
- Backups diários do banco transacional com retenção de 7 dias para point-in-time recovery, mais snapshots semanais retidos por 30 dias. Restauração testada periodicamente.
- Segredos em Azure Key Vault. Credenciais de API, certificados digitais e chaves HMAC vivem no Key Vault e são acessadas via Managed Identity — nada hardcoded em imagem ou variável de ambiente sensível.
O que é seu fica seu
Cada cliente tem um identificador de tenant que acompanha 100% das queries de leitura. Não existe consulta administrativa que cruze dados entre carteiras sem um filtro de tenant explícito — é uma invariante do schema, não uma convenção.
Cancelamentos, eventos de manifestação e histórico de uma operação jamais aparecem em painel de outro cliente. Resultados de consulta pública gratuita são isolados por IP e expirados rapidamente.
Entrega previsível, com assinatura e retry
HMAC-SHA256
Cada webhook é assinado com sua chave secreta. Calcule o digest do corpo recebido, compare com x-vigia-signature e recuse se divergir.
Idempotente
Cada evento traz a chave da NF-e + sua referência interna. Receber duas vezes não duplica efeito do seu lado se você usar essas duas dimensões como chave de idempotência.
Retry com backoff
Devolva 2xx em até 5s para confirmar. Em caso de não-2xx ou timeout, retentamos com backoff exponencial por até 24h antes de marcar a entrega como falha.
Quem do VigiaXML pode ver o quê
- Acesso administrativo é nominal — exige login com senha forte e segundo fator.
- Todo POST/PUT/PATCH/DELETE no painel admin deixa registro auditável (actor, IP, recurso, timestamp).
- Leitura de dados de cliente sem necessidade operacional não acontece — e quando acontece, fica logada.
- Nenhum operador acessa dados de produção a partir de máquina pessoal sem rede gerenciada.
O que guardamos e por quanto tempo
| Categoria | Retenção | Finalidade |
|---|---|---|
| Logs de consulta e monitoramento | 24 meses | Auditoria, cobrança e suporte |
| Logs de acesso ao painel admin | 24 meses | Investigação de incidente, conformidade |
| Logs técnicos do site | 90 dias | Detecção de abuso, depuração |
| Snapshots de webhook entregue | 30 dias | Reentrega manual, depuração de integração |
| Após cancelamento da conta | 6 meses | Resolução de pendências e portabilidade; depois eliminamos |
Retenção fiscal segue obrigação legal específica (5 anos para faturas e dados tributários).
Encarregado de Dados (DPO) e seus direitos
Operamos em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018). Nosso DPO atende pelo e-mail dpo@vigiaxml.com — canal direto para acesso, correção, eliminação e portabilidade dos dados pessoais que tratamos. Respondemos em até 15 dias corridos.
O detalhamento completo (bases legais por finalidade, com quem compartilhamos, direitos do titular) está em Privacidade & LGPD.
Em caso de incidente de segurança envolvendo seus dados, comunicamos em até 72 horas com o que aconteceu, o que estamos fazendo e o que você precisa fazer.
Precisa de mais detalhes para um comitê?
Para due diligence formal, questionários de fornecedor ou contrato com cláusulas específicas, fale com a gente — montamos o pacote.