Segurança e Proteção de Dados — CFlow CRM
Como protegemos os dados da sua operação de consórcio. Transparência sobre o que fazemos, como fazemos e por que fazemos.
1. Nosso Compromisso com Segurança
O CFlow foi construído para gerenciar dados comerciais e financeiros sensíveis de operações de consórcio. Sabemos o peso dessa responsabilidade. Segurança não é um recurso adicional do nosso produto — é a fundação sobre a qual tudo foi construído.
Desde a primeira linha de código, tomamos decisões de arquitetura que priorizam a proteção dos seus dados: onde são armazenados, como trafegam, quem pode acessá-los e o que acontece se algo der errado.
2. Proteção de Dados em Trânsito e em Repouso
- TLS 1.2+ em todas as conexões — toda comunicação entre seu navegador e nossos servidores é criptografada. Não existe tráfego em texto puro.
- Dados criptografados em repouso — as informações armazenadas no banco de dados são protegidas por criptografia, impedindo acesso em caso de comprometimento físico da mídia de armazenamento.
- Conexões de banco de dados criptografadas — mesmo internamente, a comunicação entre a aplicação e o banco de dados utiliza canais criptografados.
- Nenhum dado trafega sem criptografia — APIs, webhooks e integrações seguem o mesmo padrão de segurança.
3. Infraestrutura 100% Brasileira
Todos os dados do CFlow são armazenados e processados em infraestrutura localizada no Brasil. Isso não é apenas uma questão de conformidade legal — é uma decisão de design.
- Dados armazenados no Brasil — seu banco de dados, backups e arquivos ficam em servidores brasileiros.
- Conformidade LGPD por design — a arquitetura foi pensada desde o início para atender aos requisitos da Lei Geral de Proteção de Dados.
- Sem transferência internacional de dados — seus dados não são enviados para servidores fora do Brasil.
- Infraestrutura redundante — componentes críticos possuem redundância para garantir disponibilidade contínua.
4. Backups e Recuperação
Perda de dados pode ser catastrófica para uma operação de consórcio. Por isso, mantemos uma política rigorosa de backups.
- Backups diários automatizados — realizados todos os dias sem intervenção manual, reduzindo o risco de erro humano.
- Política de retenção — backups são mantidos por um período definido, permitindo recuperar dados de diferentes pontos no tempo.
- Procedimentos de recuperação testados — não basta ter backup; é preciso garantir que ele funciona. Validamos regularmente nossos procedimentos de restauração.
- Exportação de dados a qualquer momento — seus dados são seus. Você pode exportá-los quando quiser, no formato adequado para sua necessidade.
5. Controle de Acesso e Permissões
Nem todo membro da sua equipe precisa ver tudo. O CFlow implementa controle de acesso granular para que cada pessoa veja apenas o que é relevante para sua função.
- Perfis de acesso baseados em função — administrador, gerente, vendedor e financeiro possuem permissões diferentes por padrão.
- Gerenciamento de sessões — sessões expiram após período de inatividade e podem ser encerradas remotamente.
- Registro de ações (audit trail) — ações críticas são registradas com identificação de quem as realizou e quando.
- Requisitos de senha — exigimos senhas com complexidade mínima para proteger as contas dos usuários.
6. Monitoramento e Disponibilidade
Um sistema seguro é também um sistema disponível. Monitoramos a plataforma continuamente para identificar e resolver problemas antes que afetem sua operação.
- Monitoramento contínuo — nossos serviços são monitorados 24 horas por dia, com métricas de saúde, performance e disponibilidade.
- Alertas automatizados — anomalias geram notificações imediatas para a equipe técnica, permitindo resposta rápida.
- Procedimentos de resposta a incidentes — temos processos definidos para identificar, conter e resolver incidentes de segurança ou indisponibilidade.
- Transparência em indisponibilidades — caso ocorra uma interrupção significativa, comunicamos nossos clientes sobre o que aconteceu, o impacto e as medidas tomadas.
7. Conformidade LGPD
O CFlow foi construído com os princípios da LGPD (Lei nº 13.709/2018) incorporados desde o início — não como uma camada adicionada depois.
- Privacy by Design — cada nova funcionalidade passa por avaliação de impacto à privacidade antes de ser desenvolvida.
- Direito ao esquecimento — dados pessoais podem ser removidos mediante solicitação, conforme previsto na legislação.
- Acordos de processamento de dados — mantemos termos claros sobre como os dados dos seus clientes são processados na plataforma.
- Encarregado de dados (DPO) — disponibilizamos canal direto para questões sobre proteção de dados pessoais.
Para mais detalhes, consulte nossa Política de Privacidade.
8. Boas Práticas para Clientes
Segurança é uma responsabilidade compartilhada. Fazemos nossa parte na infraestrutura e no software, mas algumas ações dependem de você e da sua equipe:
- Use senhas fortes e únicas — não reutilize senhas de outros serviços. Utilize um gerenciador de senhas se possível.
- Não compartilhe credenciais — cada usuário deve ter seu próprio login. Compartilhar senhas compromete o registro de ações e a segurança da conta.
- Faça logout em dispositivos compartilhados — se acessou o CFlow em um computador que não é só seu, encerre a sessão ao terminar.
- Reporte atividades suspeitas imediatamente — se notar algo estranho na sua conta (acessos desconhecidos, dados alterados), entre em contato com nossa equipe.
- Mantenha seus dados de contato atualizados — precisamos conseguir comunicar informações importantes de segurança para você.
9. Reporte de Vulnerabilidades
Valorizamos a colaboração de pesquisadores de segurança e profissionais da área. Se você identificou uma vulnerabilidade no CFlow, queremos saber.
Divulgação Responsável
Envie sua descoberta para seguranca@cflowcrm.com.br com o máximo de detalhes possível (passos para reprodução, impacto estimado, evidências).
- Confirmação de recebimento em até 48 horas.
- Triagem e avaliação inicial em até 5 dias úteis.
- Não tomaremos ações legais contra pesquisadores que atuem de boa-fé, respeitem a privacidade dos nossos usuários e nos deem tempo razoável para corrigir a vulnerabilidade antes de qualquer divulgação pública.
10. O que NÃO fazemos
Transparência é parte fundamental da segurança. Acreditamos que você deve saber não apenas o que fazemos, mas também o que nunca fazemos com seus dados:
- Não vendemos dados — seus dados comerciais e os dados dos seus clientes nunca são vendidos, compartilhados ou monetizados de qualquer forma.
- Não acessamos dados do cliente sem autorização — a equipe do CFlow só acessa dados de uma conta quando autorizada pelo titular, para fins de suporte técnico.
- Não armazenamos senhas em texto puro — todas as senhas passam por hashing seguro antes do armazenamento. Ninguém na equipe consegue ver sua senha.
- Não transferimos dados para fora do Brasil — seus dados permanecem em infraestrutura brasileira, sem exceção.
Tem dúvidas sobre segurança? Entre em contato pelo e-mail seguranca@cflowcrm.com.br ou pelo nosso canal de atendimento. Teremos prazer em responder.