Segurança e proteção de dados
Esta página descreve as práticas técnicas de segurança que a FALX mantém em produção hoje. Não é uma certificação independente.
Controle de acesso no banco de dados
Todas as tabelas de dados de usuário têm Row Level Security (RLS) ativa, com políticas restringindo cada linha ao auth.uid() do usuário autenticado. Operações administrativas usam uma conta de serviço separada, apenas no servidor.
Criptografia de tokens de integração
Ao conectar uma plataforma externa (YouTube, Spotify, TikTok), a FALX recebe tokens OAuth necessários para ler suas métricas públicas. Esses tokens são criptografados em repouso no banco via pgcrypto e só são descriptografados server-side no momento da chamada à API. Tokens nunca são expostos ao frontend.
Fluxo OAuth
- Parâmetro
statealeatório em toda autorização (proteção contra CSRF). - Client secrets ficam apenas em variáveis de ambiente do servidor.
- Troca de
codeporaccess_tokenacontece server-side. - Escopos são mínimos e voltados a leitura (read-only).
Permissões OAuth por provedor
| Provedor | Escopo solicitado | O que permite | Como revogar |
|---|---|---|---|
| YouTube (Google) | youtube.readonly, yt-analytics.readonly, openid, email, profile | Ler canal, vídeos, estatísticas públicas e identidade básica. Não permite postar, editar ou excluir nada. | myaccount.google.com/permissions |
| Spotify | user-read-email, user-read-private, user-top-read | Ler email, perfil e top artists/tracks. Não permite modificar playlists nem reproduzir áudio. | spotify.com/account/apps |
| TikTok (Sandbox) | user.info.basic | Ler informações básicas do perfil autorizado. | tiktok.com/setting/apps-and-websites |
| TikTok (Produção) | user.info.basic, user.info.profile, user.info.stats, video.list | Ler perfil, estatísticas agregadas e lista de vídeos públicos. Não permite postar nem apagar conteúdo. | tiktok.com/setting/apps-and-websites |
Transporte
Todo tráfego ocorre por HTTPS/TLS. Cookies de sessão são Secure e escopados ao domínio de produção.
Autenticação
Autenticação via Supabase Auth, com sessões JWT rotacionadas automaticamente. Senhas são armazenadas com hash forte — a FALX nunca vê sua senha em texto puro.
Como revogar acessos
No app: abra Integrações no dashboard e clique em Desconectar. Isso apaga o token armazenado. Você também pode revogar diretamente na plataforma pelos links da tabela acima.
Exclusão de conta
Você pode excluir sua conta e todos os dados associados pelo próprio app (Configurações → Excluir conta), que chama o endpoint interno /api/me/delete. Isso remove o registro em Auth e apaga por cascata os dados vinculados ao seu user_id.
Base legal e escopo
A FALX é uma empresa brasileira e trata dados pessoais sob a LGPD (Lei nº 13.709/2018). Detalhes na Política de Privacidade.
Divulgação de vulnerabilidades
Se você encontrou uma falha de segurança, envie um email para contact@falxcreators.com com o assunto "Security" e inclua:
- Descrição do problema e impacto potencial.
- Passos para reproduzir (URLs, payloads, contas de teste).
- Se aplicável, uma prova de conceito minimamente destrutiva.
Compromissos:
- Confirmação de recebimento: em até 3 dias úteis.
- Triagem inicial e classificação: em até 5 dias úteis.
- Correção: prazo proporcional à severidade (crítico em dias, baixo em semanas).
- Pedimos que aguarde a correção antes de divulgar publicamente (disclosure coordenado).
O que reportar: RCE, bypass de autenticação, bypass de RLS, exposição de tokens, SSRF, IDOR, XSS armazenado, injeção de SQL, exposição de dados de outros usuários. Fora do escopo: rate limits, ausência de headers de baixa severidade em páginas públicas, spam de formulário e engenharia social contra funcionários.
Privacidade · Termos · Cookies · FAQ Privacidade · Home