VNota
EntrarComeçar grátis
Conformidade e Transparência

Política de Segurança da Informação — VNota

Última atualização: 12 de Junho de 2026

A VNota Tecnologia Ltda. ("VNota") adota padrões de segurança de nível bancário e corporativo para proteger chaves criptográficas (certificados digitais), dados cadastrais e documentos fiscais sob nossa guarda.

1. Proteção de Certificados Digitais A1/A3

A guarda do certificado digital é o pilar mais crítico de segurança da Plataforma:

  • Criptografia em Repouso: Os arquivos de certificado digital A1 (.pfx/.p12) e suas respectivas senhas enviadas pelo Cliente são criptografados de forma imediata na recepção utilizando chaves AES-256 simétricas.
  • Isolamento de Chaves: As chaves criptográficas de criptografia são isoladas fisicamente do banco de dados principal. Nenhum desenvolvedor, analista ou colaborador da VNota possui chaves de decifração direta de certificados sem logs completos de auditoria e autenticação multi-fator.
  • HSM dedicado: O processamento de assinatura e handshake digital dos certificados digitais ocorre em contêineres e microserviços específicos e isolados que decifram a chave estritamente na memória volátil pelo tempo necessário para efetuar o handshake SEFAZ, destruindo a chave volátil logo em seguida.

2. Segurança de Comunicação e Infraestrutura

  • Criptografia em Trânsito: Todo o tráfego de dados entre o navegador do usuário, as APIs da plataforma e os servidores da SEFAZ é criptografado utilizando protocolos TLS 1.2 ou superior com chaves RSA de 2048 bits ou curvas elípticas.
  • Políticas de Firewall & VPC: A infraestrutura de servidores da plataforma é isolada em redes lógicas privadas (VPCs), protegida por firewalls robustos e monitorada 24/7 contra ataques de negação de serviço (DDoS) ou varreduras de portas.
  • Prevenção de Acesso Indevido: Mecanismos de controle contra ataques de força bruta (rate-limiting e bloqueio de IPs) protegem os endpoints de autenticação corporativos.

3. Isolamento Multi-Tenant e Banco de Dados

  • Políticas RLS / Lógicas: O banco de dados PostgreSQL utiliza mecanismos rígidos de controle para garantir isolamento multi-tenant completo. O acesso corporativo e dados fiscais de uma conta jamais são expostos a outra.
  • Auditoria de Acesso (Logs): Rastreabilidade completa e imutável de todas as ações de leitura (download de XML, visualização de notas) ou modificação de dados na plataforma pelos integrantes de cada equipe.

4. Política de Backup e RPO/RTO

Resiliência e Recuperação contra Desastres

  • Backup Contínuo: Realizamos backups automáticos de estado e dumps lógicos e físicos criptografados dos bancos de dados principais de forma automatizada e contínua.
  • Objetivo de Ponto de Recuperação (RPO): Definido em menos de 1 minuto (perda potencial mínima em caso de desastre catastrófico).
  • Armazenamento de Backup: Backups são encriptados e distribuídos geograficamente em regiões redundantes seguras fora do data center primário da aplicação, sob rígidos protocolos de retenção de chaves.

5. SOC 2 Type II Compliance

A VNota está ativamente estruturando seus processos operacionais e de engenharia para conformidade com a auditoria SOC 2 Type II. O relatório detalha nossos controles de Segurança, Disponibilidade e Confidencialidade e estará disponível para visualização sob acordo de confidencialidade (NDA) para grandes corporações assim que finalizado pela auditoria externa.