WHATS
CRM
HUB
Sobre Segurança
Segurança = Auditoria + Remediação
Segurança Não É Promessa de Marketing — É Auditoria Concluída
Não dizemos "somos seguros". Mostramos a auditoria: 27 achados identificados, 7 fases de remediação, todos fechados antes da subida para produção.
Muitos vendors SaaS dizem "seus dados estão seguros" sem mostrar como. Nós somos diferentes. O backend Go e o frontend Vue do WhatsCRM Hub foram auditados (read-only) em maio de 2026 por uma equipe sênior de engenharia, com 27 achados específicos — cada um com localização concreta file:line no código.
Cada achado foi fechado em 7 fases sequenciais, do mais crítico (vazamento entre tenants) até higiene (limpeza de logs + headers de segurança). Cada fix tinha que vir com regression test — sem teste, o fix não era considerado pronto.
Resultado: 0 CRITICAL, 0 HIGH abertos, todos os MEDIUM e LOW remediados. O sistema está pronto para produção em SaaS multi-tenant pago.
27
finding diidentifikasi
7
fase remediasi
100%
CRITICAL + HIGH closed
Sete Pilares de Segurança
O Que Protegemos?
1. Isolamento Multi-Tenant
Dados do Tenant A nunca vazam para o Tenant B. O header X-Business-ID é validado contra a posse do usuário no JWT + DB antes de qualquer query rodar. Cada repository foi auditado (58 arquivos), e há um lint test no CI que falha automaticamente se um dev futuro adicionar query sem filtro business_id.
Vazamento entre tenants (CRITICAL) — fechado na Fase 0
2. Tokens Que Não Vazam
Access tokens ficam só em memória (não em localStorage). Refresh tokens em cookie httpOnly, ilegível por JavaScript. WebSocket usa tickets de uso único (TTL 30s), não JWT-na-URL — previne vazamento via proxy log, browser history ou Referer.
Token leak via URL do WebSocket (CRITICAL) — fechado na Fase 1
3. Auth Resistente a Brute-Force
Rotação de refresh token usa CAS atômico — se uma tentativa de replay é detectada, toda a chain de tokens do usuário é revogada (resposta a incidente). OTP de 6 dígitos é uso único com bcrypt cost 12. Rate limiter fail-closed quando Redis cai — usa fallback in-memory para brute-force ficar bloqueado mesmo com hiccup de infra.
Refresh race + reuso de OTP + bypass de rate-limit (HIGH×3) — fechados na Fase 2
4. Webhooks Não Podem Ser Falsificados
Webhooks da Meta (WhatsApp Business API) exigem verificação de assinatura HMAC em produção — startup falha rápido se app_secret estiver vazio. Gateways de pagamento usam subtle.ConstantTimeCompare (anti timing-attack). Proteção replay 24h: payloads idênticos nessa janela são rejeitados como duplicatas.
Webhook spoof (HIGH) + Duitku timing attack (MEDIUM) — fechados na Fase 3
5. Proteção do Browser (CSRF + XSS)
Todos os endpoints mutating (POST/PUT/PATCH/DELETE) protegidos com CSRF token, não apenas /auth/*. Vue 3 auto-escapa todas interpolações — input de chat é renderizado sem v-html, então XSS via mensagens WhatsApp de atacantes é bloqueado. Headers de segurança completos: HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, CSP report-only.
Gap de cobertura CSRF + headers de segurança ausentes — fechados nas Fases 4 + 6
6. Misconfig Não Vai Para Prod
Config de produção é validada no startup — o servidor recusa subir se TOKEN_ENCRYPTION_KEY estiver vazio, JWT secret < 32 chars, ou CORS wildcard * setado em prod. Upload de arquivos é validado por MIME server-side (sniff dos primeiros 512 bytes — não confiamos no header do client) — .exe renomeado para .png é rejeitado.
Config footgun + MIME spoof (MEDIUM×4) — fechados na Fase 5
7. Logs Limpos (Sem Vazar PII)
Logs de produção são auto-sanitizados: erros SQL, stack traces, endereços de ponteiro e paths de código são removidos antes de gravar no arquivo. Tokens, senhas e secrets nunca são logados crus — só prefixo de 8 chars quando precisamos de trace. Cada request tem request-id para audit trail sem expor dados sensíveis.
Sanitização de erros + redact de logs — fechados na Fase 6
Padrões Que Seguimos
Alinhado a Padrões da Indústria
Não dizemos "compliant" sem base — mostramos quais padrões usamos como benchmark e quais controles foram implementados.
OWASP ASVS Level 2
Application Security Verification Standard — checklist de segurança de aplicações web aceita globalmente. Adequada para SaaS que armazena dados sensíveis de cliente.
OWASP Top 10 (2021)
Especificamente A01 (Broken Access Control), A02 (Cryptographic Failures), A05 (Security Misconfiguration), A07 (Auth Failures) — todos endereçados na nossa auditoria.
LGPD Brasil
Dados do tenant ficam na região do cliente (ou no VPS do cliente para licença source). Sem transferência cross-border automática. Direito de acesso + direito ao apagamento embutidos no modelo.
GDPR / PDPL Saudita / UU PDP Indonésia
Alinhado às regulamentações dos nossos mercados-chave. Isolamento multi-tenant garante que o "delete my data" de um tenant nunca toque outro tenant.
Um Processo, Não Auditoria Única
Segurança É Disciplina Contínua
A auditoria de maio/2026 é só um snapshot. Eis o que pusemos em prática para a postura de segurança não decair com o tempo.
Regression Tests Obrigatórios
Cada fix tem que vir com teste — sem teste, o fix não está pronto. CI falha se um bug que já foi corrigido reaparece.
Lint Test de Isolamento de Tenant
Análise estática no CI varre todo repository — se uma query nova não tem o filtro business_id, o build falha. Anti-regressão de longo prazo.
Revisão Periódica
O documento de auditoria é revisitado no fim de cada fase de remediação, e no mínimo uma vez antes de cada cutover de produção grande.
Decision Log Transparente
Todo trade-off de segurança é documentado no SECURITY.md — por que escolhemos a opção A em vez da B, para engenheiros futuros entenderem o contexto.
Impacto no Negócio
Por Que Isso Importa Para Seu Negócio?
Segurança técnica soa como assunto de engenharia, mas o impacto cai direto em receita, retenção e o quão bem você dorme à noite.
Confiança do Cliente
Quando o cliente sabe que os dados do negócio dele estão seguros, ele não muda para concorrente. Confiança = retenção = LTV alto.
Sem Exposição Legal
Vazamento de dado de cliente pode levar a multas LGPD/GDPR/PDPL (até 4% do faturamento anual). Isolamento multi-tenant sólido = paz de espírito.
Reputação Intacta
Um incidente viral de vazamento no Twitter/LinkedIn pode apagar 5 anos de branding. Temos barreiras em camadas para evitar isso.
Cliente Enterprise Paga Premium
Clientes corporativos grandes (os que pagam mensalidades altas) exigem checklist de segurança antes de assinar contrato. Documentação de auditoria transparente = venda mais fácil para o segmento premium.
Quer Ver Os Detalhes Da Auditoria?
Nosso time de engenharia está disponível para deep-dive técnico — incluindo acesso ao documento de auditoria completo (SECURITY.md, 468 linhas) sob NDA para clientes enterprise em avaliação séria.