Segurança e proteção de dados

Esta página descreve as práticas técnicas de segurança que a FALX mantém em produção hoje. Não é uma certificação independente.

Controle de acesso no banco de dados

Todas as tabelas de dados de usuário têm Row Level Security (RLS) ativa, com políticas restringindo cada linha ao auth.uid() do usuário autenticado. Operações administrativas usam uma conta de serviço separada, apenas no servidor.

Criptografia de tokens de integração

Ao conectar uma plataforma externa (YouTube, Spotify, TikTok), a FALX recebe tokens OAuth necessários para ler suas métricas públicas. Esses tokens são criptografados em repouso no banco via pgcrypto e só são descriptografados server-side no momento da chamada à API. Tokens nunca são expostos ao frontend.

Fluxo OAuth

Permissões OAuth por provedor

ProvedorEscopo solicitadoO que permiteComo revogar
YouTube (Google)youtube.readonly, yt-analytics.readonly, openid, email, profileLer canal, vídeos, estatísticas públicas e identidade básica. Não permite postar, editar ou excluir nada.myaccount.google.com/permissions
Spotifyuser-read-email, user-read-private, user-top-readLer email, perfil e top artists/tracks. Não permite modificar playlists nem reproduzir áudio.spotify.com/account/apps
TikTok (Sandbox)user.info.basicLer informações básicas do perfil autorizado.tiktok.com/setting/apps-and-websites
TikTok (Produção)user.info.basic, user.info.profile, user.info.stats, video.listLer perfil, estatísticas agregadas e lista de vídeos públicos. Não permite postar nem apagar conteúdo.tiktok.com/setting/apps-and-websites

Transporte

Todo tráfego ocorre por HTTPS/TLS. Cookies de sessão são Secure e escopados ao domínio de produção.

Autenticação

Autenticação via Supabase Auth, com sessões JWT rotacionadas automaticamente. Senhas são armazenadas com hash forte — a FALX nunca vê sua senha em texto puro.

Como revogar acessos

No app: abra Integrações no dashboard e clique em Desconectar. Isso apaga o token armazenado. Você também pode revogar diretamente na plataforma pelos links da tabela acima.

Exclusão de conta

Você pode excluir sua conta e todos os dados associados pelo próprio app (Configurações → Excluir conta), que chama o endpoint interno /api/me/delete. Isso remove o registro em Auth e apaga por cascata os dados vinculados ao seu user_id.

Base legal e escopo

A FALX é uma empresa brasileira e trata dados pessoais sob a LGPD (Lei nº 13.709/2018). Detalhes na Política de Privacidade.

Divulgação de vulnerabilidades

Se você encontrou uma falha de segurança, envie um email para contact@falxcreators.com com o assunto "Security" e inclua:

Compromissos:

O que reportar: RCE, bypass de autenticação, bypass de RLS, exposição de tokens, SSRF, IDOR, XSS armazenado, injeção de SQL, exposição de dados de outros usuários. Fora do escopo: rate limits, ausência de headers de baixa severidade em páginas públicas, spam de formulário e engenharia social contra funcionários.

Privacidade · Termos · Cookies · FAQ Privacidade · Home