Documentação de Segurança

Última Atualização: Maio de 2025

O HouseMunny está comprometido em manter os mais altos padrões de segurança e proteção de dados. Este documento delineia os nossos controlos e políticas de segurança abrangentes.

1. Práticas de Encriptação de Dados

• Dados em Trânsito: Todas as comunicações usam encriptação TLS 1.2+
• Dados em Repouso: Encriptação AES-256-GCM para todos os dados sensíveis
• Encriptação ao Nível de Campo: Dados pessoais, informação financeira e tokens API são encriptados ao nível da base de dados
• Gestão de Chaves: Chaves de encriptação são geridas de forma segura através de variáveis de ambiente

2. Análise de Vulnerabilidades

• Análise Automatizada: GitHub Dependabot monitoriza dependências para vulnerabilidades
• Auditorias Regulares: Auditorias mensais de dependências usando yarn audit
• Estado Atual: Nenhuma vulnerabilidade crítica detetada
• SLA: Vulnerabilidades críticas corrigidas dentro de 7 dias, moderadas dentro de 30 dias

3. Arquitetura Zero Trust

• Autenticação Obrigatória: Todas as rotas da aplicação requerem autenticação
• Sem Segredos Hardcoded: Todos os dados sensíveis armazenados em variáveis de ambiente
• Isolamento da Base de Dados: Acesso à base de dados restrito apenas ao backend da aplicação
• Segurança de API: APIs internas protegidas com autenticação de bearer token

4. Gestão Centralizada de Identidade e Acesso

• Single Sign-On: Integração OAuth do Google para autenticação de utilizadores
• Gestão de Palavras-passe: Armazenamento seguro de palavras-passe usando Firebase Authentication
• Controlo de Acesso: Acesso baseado em funções através de gestão centralizada de utilizadores
• Gestão de Sessões: Sessões baseadas em JWT com expiração de 30 dias

5. Tokens e Certificados Seguros

• Implementação OAuth: Fluxo OAuth 2.0 seguro com Google
• Segurança de Tokens API: Tokens de acesso Plaid encriptados em repouso
• Certificados SSL: Conexões de base de dados de produção usam certificados de cliente
• Autenticação de Dois Fatores: 2FA baseado em TOTP opcional disponível para utilizadores que escolham ativar

6. SLA de Correção de Vulnerabilidades

• Vulnerabilidades Críticas: Corrigidas dentro de 7 dias
• Vulnerabilidades Altas: Corrigidas dentro de 14 dias
• Vulnerabilidades Médias: Corrigidas dentro de 30 dias
• Vulnerabilidades Baixas: Corrigidas dentro de 90 dias

7. Monitorização de Software End-of-Life

• Revisões Trimestrais: Todas as dependências e versões de software revistas trimestralmente
• Monitorização Automatizada: Alertas do GitHub Dependabot para pacotes desatualizados
• Política de Atualização: Software EOL atualizado dentro de 30 dias após identificação
• Estado Atual: Todas as dependências principais são ativamente mantidas

8. Política de Segurança da Informação

• Classificação de Dados: Dados financeiros classificados como altamente sensíveis
• Padrões de Encriptação: Encriptação AES-256 para todos os dados sensíveis
• Controlos de Acesso: Princípio do menor privilégio aplicado
• Política de Backup: Backups diários automatizados com encriptação
• Política de Retenção: Dados retidos conforme requisitos legais e consentimento do utilizador

9. Política de Controlo de Acesso

• Autenticação de Utilizador: Autenticação multi-fator disponível (2FA baseado em TOTP opcional)
• Acesso Administrativo: Funções admin limitadas apenas para gestão de taxas de câmbio
• Acesso API: Autenticação bearer token para todas as APIs internas
• Acesso à Base de Dados: Restrito apenas à camada da aplicação
• Gestão de Segredos: Todos os segredos armazenados em variáveis de ambiente seguras

10. Controlo de Acesso Baseado em Funções (RBAC)

• Funções de Utilizador: Utilizadores padrão, utilizadores admin com permissões distintas
• Isolamento de Dados: Utilizadores só podem aceder aos seus próprios dados financeiros
• Funções Administrativas: Restritas a detentores de função admin
• Permissões de API: Controlos de acesso API baseados em funções implementados

11. Revisões Periódicas de Acesso

• Revisões Trimestrais: Todo o acesso e permissões de utilizador revistas trimestralmente
• Acesso Administrativo: Acesso admin revisto mensalmente
• Contas de Serviço: Chaves API e contas de serviço auditadas trimestralmente
• Documentação: Todas as revisões de acesso documentadas e rastreadas

12. Desprovisionamento Automatizado de Acesso

• Eliminação de Conta de Utilizador: Processo automatizado para eliminação de conta solicitada pelo utilizador
• Gestão de Sessões: Expiração e limpeza automática de sessões
• Revogação de Acesso: Revogação imediata de acesso após terminação de função
• Limpeza de Dados: Eliminação segura de dados seguindo políticas de retenção

13. Uso de IA e Proteção de Dados

• Integração Limitada de IA: API da OpenAI usada exclusivamente para categorizar transações importadas do Plaid
• Limitação de Âmbito: Processamento de IA aplica-se apenas a transações importadas do banco, não às adicionadas manualmente
• Minimização de Dados: Apenas dados de texto não sensíveis (etiquetas de transação) enviados para serviço de IA
• Sem Partilha de Dados Pessoais: Nenhuma informação pessoal, valores financeiros ou dados identificáveis transmitidos
• Controlo do Utilizador: Utilizadores podem rever e modificar qualquer categorização atribuída por IA a qualquer momento
• Sem Criação de Perfis: IA não é usada para criação de perfis de utilizador ou tomada de decisão automatizada com efeitos legais
• Transparência: Todas as categorizações de IA são claramente visíveis e editáveis pelos utilizadores

Contacta-nos

Se tiveres qualquer pergunta sobre esta Documentação de Segurança ou as nossas práticas de segurança, por favor contacta-nos em: guilherme@housemunny.com