Segurança e Compliance

A infraestrutura que protege
os dados do seu negócio

A RAXAR não improvisa segurança. Aplicamos os mesmos padrões de bancos e consultorias top-tier desde o primeiro dia, mesmo antes de ter clientes externos. Nossos dados internos vivem sob os mesmos controles que os seus viverão.

Documento vivo · última revisão: S239 · 2026-04-23

Isolamento multi-tenant matemático

Row-Level Security no PostgreSQL em cada tabela com dados de cliente. O isolamento é matemático no nível do banco, não na camada de aplicação.

Criptografia em repouso e trânsito

PostgreSQL com criptografia nativa. Pesquisa semântica sobre armazém vetorial cifrado. TLS 1.3 em todos os endpoints HTTPS. HSTS com max-age 1 ano + preload.

Autenticação robusta

2FA obrigatório para papéis administrativos. Account lockout após 5 tentativas falhas. Password policy com Shannon-entropy. Bcrypt 12 rounds.

Headers de segurança

CSP estrita · X-Frame-Options DENY · X-Content-Type-Options nosniff · Referrer-Policy strict-origin-when-cross-origin · Permissions-Policy restritiva.

Monitoramento e resposta a incidentes

Error tracking self-hosted (Glitchtip). Uptime monitoring externo independente. Runbook DR testado com RTO medido · backups offsite diários com restore testado.

Compliance GDPR/LGPD

DPA assinável disponível mediante solicitação. Endpoint right-to-erasure. PII redigida antes de enviar a LLMs terceirizados. Servidores de analytics (PostHog) na UE.

Roadmap de compliance

Somos transparentes: ainda não temos certificações formais externas. As planejamos com base em tração comercial real, não como marketing vazio.

GDPR/LGPD ready

DPA template + export + erasure endpoints

✓ Ativo

SOC 2 Type I

Auditoria planejada pós-tração de cliente

Q4 2026

ISO 27001

Sistema de gestão de segurança da informação

Q2 2027

Pen-test externo

Auditoria anual com firma especializada

Q1 2027

Reporte de vulnerabilidades

Se você detectou uma vulnerabilidade, comportamento anormal ou qualquer problema de segurança em nossos sistemas, queremos saber. Respondemos em menos de 72 horas.

Contato: security@raxar.es

Agradecimentos: /pt/seguridad#hall-of-fame

Preferred-Languages: es, en, pt

Policy: /.well-known/security.txt

Não processaremos legalmente pesquisadores de segurança que atuem de boa-fé dentro de um scope razoável (sem exfiltração de dados · sem interrupção de serviço · notificação privada antes de disclosure público).

Hall of Fame

Reconhecimento público a pesquisadores que reportaram vulnerabilidades responsáveis. Atualmente em branco · estamos em fase de dogfooding interno e nos orgulhamos desse espaço vazio porque significa que ainda não precisamos preenchê-lo.

Cliente enterprise com requisitos avançados?

Se precisar de DPA personalizado, deployment em seu ambiente cloud, auditoria de infraestrutura isolada, integração com seu SSO corporativo ou SLA específico, podemos desenhar um setup enterprise sob medida.

Falar com o time de segurança →

RAXARDel Caos al Éxito

Cargando ecosistema

A infraestrutura que protege
os dados do seu negócio

Documento vivo · última revisão: S239 · 2026-04-23

Isolamento multi-tenant matemático

Row-Level Security no PostgreSQL em cada tabela com dados de cliente. O isolamento é matemático no nível do banco, não na camada de aplicação.

Criptografia em repouso e trânsito

PostgreSQL com criptografia nativa. Pesquisa semântica sobre armazém vetorial cifrado. TLS 1.3 em todos os endpoints HTTPS. HSTS com max-age 1 ano + preload.

Autenticação robusta

2FA obrigatório para papéis administrativos. Account lockout após 5 tentativas falhas. Password policy com Shannon-entropy. Bcrypt 12 rounds.

Headers de segurança

CSP estrita · X-Frame-Options DENY · X-Content-Type-Options nosniff · Referrer-Policy strict-origin-when-cross-origin · Permissions-Policy restritiva.

Monitoramento e resposta a incidentes

Error tracking self-hosted (Glitchtip). Uptime monitoring externo independente. Runbook DR testado com RTO medido · backups offsite diários com restore testado.

Compliance GDPR/LGPD

DPA assinável disponível mediante solicitação. Endpoint right-to-erasure. PII redigida antes de enviar a LLMs terceirizados. Servidores de analytics (PostHog) na UE.

Roadmap de compliance

Somos transparentes: ainda não temos certificações formais externas. As planejamos com base em tração comercial real, não como marketing vazio.

GDPR/LGPD ready

DPA template + export + erasure endpoints

✓ Ativo

SOC 2 Type I

Auditoria planejada pós-tração de cliente

Q4 2026

ISO 27001

Sistema de gestão de segurança da informação

Q2 2027

Pen-test externo

Auditoria anual com firma especializada

Q1 2027

Reporte de vulnerabilidades

Se você detectou uma vulnerabilidade, comportamento anormal ou qualquer problema de segurança em nossos sistemas, queremos saber. Respondemos em menos de 72 horas.

Contato: security@raxar.es

Agradecimentos: /pt/seguridad#hall-of-fame

Preferred-Languages: es, en, pt

Policy: /.well-known/security.txt

Hall of Fame

Cliente enterprise com requisitos avançados?

Falar com o time de segurança →

A infraestrutura que protegeos dados do seu negócio

Isolamento multi-tenant matemático

Criptografia em repouso e trânsito

Autenticação robusta

Headers de segurança

Monitoramento e resposta a incidentes

Compliance GDPR/LGPD

Roadmap de compliance

Reporte de vulnerabilidades

Hall of Fame

Cliente enterprise com requisitos avançados?

A infraestrutura que protegeos dados do seu negócio

Isolamento multi-tenant matemático

Criptografia em repouso e trânsito

Autenticação robusta

Headers de segurança

Monitoramento e resposta a incidentes

Compliance GDPR/LGPD

Roadmap de compliance

Reporte de vulnerabilidades

Hall of Fame

Cliente enterprise com requisitos avançados?

A infraestrutura que protege
os dados do seu negócio

A infraestrutura que protege
os dados do seu negócio