Segurança

Última atualização: 23 de janeiro de 2026

1. Nosso Compromisso com Segurança

A segurança dos seus dados é nossa prioridade. Na TropiCall, implementamos múltiplas camadas de proteção para garantir que suas informações e as de seus clientes estejam sempre seguras.

Nossa abordagem de segurança abrange pessoas, processos e tecnologia, seguindo as melhores práticas da indústria e buscando conformidade com os principais padrões internacionais.

2. Criptografia

Utilizamos criptografia de ponta para proteger seus dados em todas as etapas:

2.1 Dados em Trânsito

  • TLS 1.3: Todas as comunicações entre você e nossos servidores são criptografadas usando TLS 1.3, o protocolo mais recente e seguro
  • HSTS: HTTP Strict Transport Security habilitado em todos os domínios para prevenir ataques de downgrade
  • Certificados: Certificados SSL/TLS gerenciados e renovados automaticamente
  • Perfect Forward Secrecy: Proteção adicional que garante que chaves comprometidas não afetam comunicações passadas

2.2 Dados em Repouso

  • AES-256: Todos os dados armazenados são criptografados usando AES-256, padrão adotado por governos e instituições financeiras
  • Gerenciamento de chaves: Chaves de criptografia gerenciadas pelos nossos provedores de infraestrutura com controles de acesso rigorosos
  • Backups criptografados: Cópias de segurança são criptografadas

3. Segurança de Dados de Voz

Por sermos uma plataforma de agentes de voz, implementamos medidas específicas para proteger dados de áudio:

3.1 Proteção de Chamadas

  • Criptografia de mídia: Áudio de chamadas é transmitido usando SRTP (Secure Real-time Transport Protocol)
  • Criptografia de sinalização: Protocolos SIP protegidos com TLS
  • Sem armazenamento não autorizado: Gravações só são armazenadas quando explicitamente habilitadas pelo cliente

3.2 Gravações e Transcrições

  • Criptografia AES-256: Todas as gravações de áudio são criptografadas antes do armazenamento
  • Acesso controlado: Apenas o proprietário da conta pode acessar gravações
  • Retenção configurável: Você controla por quanto tempo as gravações são mantidas (padrão: 90 dias)
  • Exclusão segura: Gravações são excluídas de forma irrecuperável após o período de retenção

3.3 Processamento de Voz

  • Processamento em memória: Áudio para transcrição e síntese é processado em memória, sem persistência desnecessária
  • Isolamento: Cada chamada é processada em ambiente isolado
  • Sem uso para treinamento: Seus dados de voz não são utilizados para treinar modelos de IA sem consentimento explícito

4. Segurança de Inteligência Artificial

Implementamos proteções específicas contra riscos associados ao uso de IA:

4.1 Proteção contra Ataques

  • Guardrails de conteúdo: Sistema de regras e análise por IA que monitora configurações de agentes e outputs para detectar e bloquear conteúdo potencialmente malicioso ou inadequado
  • Monitoramento de uso: Análise contínua de padrões de uso para detectar tentativas de contornar as diretrizes de segurança dos modelos
  • Isolamento de dados: Proteções contra tentativas de extrair informações do sistema ou de outros usuários

4.2 Controles de Output

  • Filtros de conteúdo: Verificação de outputs para bloquear conteúdo inapropriado, ilegal ou perigoso
  • Rate limiting: Limites de requisições para prevenir abuso
  • Logging de interações: Registro de interações para auditoria e investigação quando necessário

4.3 Detecção de Uso Malicioso

  • Análise de intenção: Sistemas de IA que analisam configurações de agentes para detectar uso para fraudes ou golpes
  • Padrões de golpe: Banco de dados atualizado de padrões conhecidos de fraude
  • Alerta e revisão: Alertas automáticos são revisados por equipe humana antes de ações

5. Infraestrutura

Nossa infraestrutura utiliza provedores reconhecidos e práticas de segurança adequadas:

  • Provedores de infraestrutura: Utilizamos provedores como Supabase e RunPod, que mantêm certificações e controles de segurança próprios em seus data centers
  • Segurança de rede: Segmentação de rede com isolamento entre serviços internos e exposição controlada via proxy reverso
  • Rate limiting: Limites de requisições implementados em múltiplas camadas para prevenir abuso
  • Hardening de containers: Sistemas de arquivos somente leitura, capabilities reduzidas, limites de recursos e isolamento de processos
  • Certificados TLS: Gerenciados e renovados automaticamente via Let's Encrypt

6. Controle de Acesso

Implementamos controles para garantir que apenas pessoas autorizadas acessem dados:

  • Autenticação multifator (MFA): Disponível para todas as contas via TOTP, recomendado para administradores
  • RBAC: Controle de acesso baseado em funções (administrador e membro) com permissões granulares por funcionalidade
  • Row Level Security: Isolamento de dados por organização no nível do banco de dados
  • Sessões seguras: Autenticação via JWT com validação de chaves públicas (JWKS)
  • API keys seguras: Chaves de API armazenadas como hash SHA-256, com escopo limitado à organização

7. Monitoramento e Resposta a Incidentes

7.1 Monitoramento

  • Métricas e dashboards: Monitoramento de infraestrutura e aplicações via Prometheus e Grafana
  • Rastreamento distribuído: Tracing de requisições via OpenTelemetry para diagnóstico e investigação
  • Alertas automatizados: Notificações configuradas para eventos anômalos e falhas de serviço
  • Logs centralizados: Registro estruturado de eventos para auditoria e investigação

7.2 Resposta a Incidentes

  • Procedimentos definidos: Processos para identificação, contenção, erradicação e recuperação de incidentes
  • Post-mortem: Análise após incidentes significativos com lições aprendidas

7.3 Notificação de Incidentes

Em caso de incidente de segurança que afete seus dados, nos comprometemos a:

  • Notificar você em até 72 horas após a confirmação do incidente
  • Fornecer informações sobre a natureza do incidente e dados potencialmente afetados
  • Comunicar as medidas tomadas para contenção e remediação
  • Notificar as autoridades competentes conforme exigido por lei (ANPD, autoridades GDPR)

Para mais detalhes sobre notificações de incidentes, consulte nossa página LGPD e GDPR.

8. Continuidade de Negócios

  • Backups: Realizamos backups periódicos do banco de dados e configurações críticas
  • Recuperação: Procedimentos documentados para restauração de serviços em caso de falha
  • Infraestrutura como código: Configurações de infraestrutura versionadas para recriação rápida do ambiente

9. Testes de Segurança

  • Revisão de código: Code review obrigatório para todas as alterações, com foco em segurança
  • Análise de dependências: Monitoramento de vulnerabilidades em bibliotecas de terceiros
  • Testes de segurança: Buscamos realizar avaliações de segurança periódicas para identificar e corrigir vulnerabilidades

10. Conformidade e Certificações

Trabalhamos continuamente para atender aos mais altos padrões de segurança e privacidade:

10.1 Conformidade Atual

  • LGPD: Lei Geral de Proteção de Dados (Brasil) - Conforme
  • GDPR: General Data Protection Regulation (UE) - Conforme
  • Marco Civil da Internet: Lei nº 12.965/2014 (Brasil) - Conforme

10.2 Certificações em Andamento

  • SOC 2 Type II: Auditoria de controles de segurança e disponibilidade - Em andamento (previsão: Q3 2026)

10.3 Certificações Planejadas

  • ISO 27001: Sistema de gestão de segurança da informação - Planejado para 2027

Nossos provedores de infraestrutura (como Supabase e RunPod) mantêm certificações e controles de segurança próprios em seus data centers.

11. Práticas de Segurança Organizacional

Nossa abordagem de segurança vai além da tecnologia:

  • Segregação de ambientes: Separação entre desenvolvimento e produção
  • Princípio do menor privilégio: Acesso apenas ao necessário para cada função
  • Gestão de incidentes: Procedimentos definidos para resposta a incidentes de segurança
  • Revisão de acessos: Revisão periódica de permissões e acessos

12. Programa de Bug Bounty

Valorizamos a comunidade de segurança e incentivamos a divulgação responsável de vulnerabilidades. Se você encontrou uma vulnerabilidade em nossos sistemas:

  • Não acesse ou modifique dados de outros usuários
  • Não realize ataques de negação de serviço
  • Reporte a vulnerabilidade de forma privada antes de divulgação pública
  • Dê-nos tempo razoável para corrigir antes de divulgação (geralmente 90 dias)

Oferecemos reconhecimento e recompensas (a critério da TropiCall) para reportes válidos de vulnerabilidades. Não tomaremos ação legal contra pesquisadores que agirem de boa-fé.

E-mail para reportes de segurança: security@tropicall.ai

13. Contato

Para dúvidas sobre segurança ou reportar vulnerabilidades:

  • E-mail de segurança: security@tropicall.ai
  • E-mail do DPO: dpo@tropicall.ai
  • Página de contato: tropicall.ai/contact

Nossa equipe de segurança está disponível para responder suas perguntas sobre nossas práticas de segurança, auxiliar com auditorias de clientes e fornecer documentação adicional quando necessário.

TropiCall
TropiCall
Copyright © 2026 TropiCall
Todos os direitos reservados
TropiCall Tecnologia Ltda.
CNPJ: 61.230.956/0001-74
Praça Nereu Ramos, 90 – Centro
CEP 88.160-116 – Biguaçu/SC

Produto

Como funcionaCasos de usoPlanosIntegrações

Empresa

Sobre nósBlogContato

Legal e Segurança

Política de PrivacidadeTermos de UsoPolítica de Uso AceitávelPolítica de ReembolsoLGPD e GDPRSegurança

TROPICALL