Pular para o conteúdo
Quotery

Segurança

Práticas de segurança do Quotery: criptografia TLS 1.3, AES-256-GCM em repouso, Cloudflare CDN, hospedagem Render, retenção de dados e programa de divulgação de vulnerabilidades para compradores corporativos.

Padrões de criptografia

Todos os dados transmitidos entre seu navegador e o Quotery são criptografados com TLS 1.3 usando conjuntos de cifras modernos. Em repouso, os dados do cliente são criptografados com AES-256-GCM. Os volumes do banco de dados usam criptografia gerenciada pelo provedor de nuvem. Os backups são criptografados com o mesmo padrão antes de sair do data center. Chaves de API e segredos são hasheados ou criptografados antes do armazenamento e nunca são registrados em texto puro.

Infraestrutura

O Quotery é executado na infraestrutura compatível com SOC 2 da Render, com PostgreSQL 17 como banco de dados principal e Redis 7 para cache e recursos em tempo real. Ativos estáticos e tráfego de API são protegidos pela rede de entrega de conteúdo da Cloudflare, que oferece mitigação DDoS, regras WAF e cache de borda. A aplicação é implantada em contêineres isolados com limites de recursos e recuperação automática orientada por health checks. Variáveis de ambiente e segredos são gerenciados através do armazenamento criptografado da Render e nunca são enviados ao controle de versão.

Sub-processadores

O Quotery utiliza os seguintes sub-processadores para entregar a plataforma: OpenAI (importação de documentos com IA — PDFs de fornecedores, Excel e CSV são enviados à OpenAI para extração de estrutura, correspondência de produtos e geração de resumo; nenhum dado do cliente é usado para treinamento de modelo); Stripe (processamento de pagamentos — dados de cartão de crédito são tratados integralmente pela infraestrutura PCI da Stripe; o Quotery nunca armazena ou processa informações de pagamento); PostHog (análise de produto — dados anonimizados de uso do produto para melhoria da plataforma; nenhuma informação pessoal identificável é coletada); Grafana Cloud (monitoramento de infraestrutura — métricas de desempenho e logs de erro; nenhum dado do cliente é incluído). Cada sub-processador é vinculado por um acordo de processamento de dados consistente com as obrigações de segurança do Quotery.

Controle de acesso

O Quotery aplica isolamento rigoroso de multi-tenant no nível do banco de dados. Os dados de cada tenant são segregados por um identificador de tenant aplicado em toda consulta — nenhum tenant pode acessar dados de outro tenant através de qualquer endpoint da API. O controle de acesso baseado em funções (RBAC) está integrado na plataforma, com funções predefinidas (Admin, Gerente, Usuário, Visualizador) que limitam o que cada membro da equipe pode ver e fazer. Clientes Enterprise podem configurar SAML SSO para federação de identidade com seu provedor de identidade existente. Todo acesso ao ambiente de produção é protegido por VPN, autenticação por chave SSH e contas de usuário individuais com gerenciador de senhas obrigatório. O acesso é registrado e auditado trimestralmente.

Retenção de dados

Os dados do cliente são retidos durante a vigência da assinatura ativa. Após o cancelamento, os dados da conta permanecem acessíveis em modo somente leitura por 30 dias para permitir a exportação. Após o período de exportação de 30 dias, a conta e todos os dados associados são permanentemente excluídos. Backups automatizados diários são retidos por 90 dias. Os backups são criptografados em repouso e em trânsito. Após 90 dias, os backups são automaticamente rotacionados e permanentemente destruídos. Nenhum dado do cliente é retido além desses períodos, a menos que exigido por lei aplicável.

Conformidade e certificações

O Quotery é executado na infraestrutura certificada SOC 2 Type II da Render, que atende aos Critérios de Serviços de Confiança do AICPA para segurança, disponibilidade e confidencialidade. A Render passa por auditorias anuais de terceiros e fornece o relatório SOC 2 sob NDA para clientes enterprise. O Quotery está buscando a certificação SOC 2 Type II própria; a avaliação de prontidão está concluída e a janela de auditoria está planejada para o final de 2026. Enquanto isso, nossas práticas de segurança estão alinhadas com os critérios SOC 2: controles de acesso documentados, auditorias de acesso trimestrais, dados criptografados em repouso e em trânsito, verificação automatizada de backups e um plano formal de resposta a incidentes. Compradores enterprise podem solicitar nosso questionário de segurança e roteiro de conformidade em security@quotery.io.

Acordo de Processamento de Dados (DPA)

Um Acordo de Processamento de Dados está disponível para todos os planos pagos mediante solicitação. O DPA cobre as obrigações do Quotery como processador de dados sob o GDPR e a LGPD, incluindo: limitação de finalidade (dados processados apenas para entregar a plataforma Quotery), divulgação de sub-processadores (OpenAI, Stripe, PostHog, Grafana Cloud — listados acima com as atividades de processamento), assistência em solicitações de titulares de dados, notificação de violação em até 72 horas e exclusão ou devolução dos dados do cliente ao término do contrato. Entre em contato com sales@quotery.io para solicitar o DPA atual. O DPA incorpora Cláusulas Contratuais Padrão (SCCs) para transferências transfronteiriças de dados quando aplicável.

Reporte uma vulnerabilidade

Levamos a segurança da nossa plataforma a sério. Se você descobrir uma potencial vulnerabilidade de segurança no Quotery, por favor reporte para security@quotery.io. Reconheceremos o recebimento em até 48 horas e trabalharemos para priorizar e resolver o problema prontamente. Pedimos que você siga práticas de divulgação responsável e nos conceda tempo razoável para resolver o problema antes da divulgação pública. Atualmente não operamos um programa formal de bug bounty, mas reconheceremos e creditaremos os responsáveis pelos reportes em nossas notas de versão.