Segurança
Implementamos controles de segurança abrangentes para proteger seus dados e garantir a integridade de nossa plataforma.
Nossas medidas de segurança estão alinhadas com estruturas padrão da indústria, incluindo o OWASP Top 10, fornecendo proteção de nível empresarial contra ameaças de segurança modernas.
Os tokens de acesso usam assinatura assimétrica RS256 e incluem identidade do usuário, rastreamento de sessão e expiração automática. Cada token é verificado criptograficamente e as sessões podem ser revogadas instantaneamente quando necessário.
As sessões de usuário são protegidas usando cookies seguros somente HTTP e tokens de sessão de curta duração. As sessões expiram automaticamente após períodos de inatividade, e os tokens são armazenados com segurança e invalidados após logout ou atividade suspeita. Os dados da sessão nunca são expostos a scripts do lado do cliente, reduzindo o risco de sequestro de sessão.
Materiais de treinamento e arquivos carregados são servidos através de URLs pré-assinadas de curta duração que expiram após 60 segundos, minimizando a janela de exposição para conteúdo sensível.
Todos os dados em trânsito são protegidos usando HTTPS padrão da indústria com HTTP Strict Transport Security (HSTS) habilitado. Aplicamos Content Security Policy (CSP), implementamos proteção de frame e desabilitamos o rastreamento de tipo de conteúdo para proteger contra ataques comuns baseados em navegador.
Todas as chaves API são criptografadas antes do armazenamento usando algoritmos padrão da indústria. Webhooks de saída podem ser assinados criptograficamente usando assinaturas HMAC, permitindo que você verifique a autenticidade dos dados enviados de nossa plataforma.
Importações baseadas em URL e busca de recursos remotos são estritamente validadas. Permitimos apenas protocolos HTTP/HTTPS padrão e bloqueamos automaticamente solicitações para redes internas, faixas de IP privadas e outros destinos potencialmente perigosos.
O acesso à API de produção é protegido por uma lista branca CORS estrita, garantindo que apenas domínios autorizados possam interagir com seus dados. Ataques de poluição de parâmetros HTTP são bloqueados automaticamente através da rejeição de parâmetros duplicados.
O painel não pode ser incorporado em frames de terceiros, protegendo contra ataques de clickjacking e incorporação não autorizada.
Nossa plataforma aplica isolamento estrito entre diferentes chatbots e contas. Os recursos de cada chatbot são completamente segregados, impedindo acesso não autorizado entre inquilinos.
Cada chatbot em sua organização é protegido por permissões granulares que aplicam controles de acesso de leitura e gravação. Os membros da equipe só podem acessar recursos que estão explicitamente autorizados a visualizar ou modificar, garantindo a separação adequada de funções.
Os dados de conversa respeitam as políticas de compartilhamento configuradas no nível do chatbot. Seja as conversas restritas a membros específicos da equipe ou compartilhadas mais amplamente, essas permissões são aplicadas do lado do servidor e não podem ser contornadas.
As senhas dos usuários são criptografadas usando algoritmos padrão da indústria e nunca armazenadas em texto simples. Os fluxos de redefinição de senha usam tokens assinados criptograficamente com tempo limitado que não podem ser reutilizados ou falsificados.
As tentativas de login são monitoradas tanto por endereço de e-mail quanto por endereço IP. Tentativas de login falhadas repetidas acionam bloqueios temporários automáticos, protegendo contas contra ataques de preenchimento de credenciais.
Os dados de treinamento e a base de conhecimento de cada chatbot são armazenados em namespaces de banco de dados vetorial isolados, impedindo qualquer possibilidade de contaminação cruzada entre diferentes chatbots ou contas.
Todas as credenciais sensíveis são armazenadas no AWS Secrets Manager e nunca confirmadas em código ou arquivos de configuração. As conexões de banco de dados são roteadas através de proxies RDS seguros com criptografia forçada.
A limitação de taxa abrangente é aplicada em todos os endpoints de chat usando um algoritmo de janela móvel. Isso protege contra ataques de negação de serviço e abuso automatizado, garantindo que os usuários legítimos tenham um serviço ininterrupto.
Todo conteúdo gerado pelo usuário, incluindo configurações de playbook, nomes de chatbot, regras e acionadores, é automaticamente higienizado antes do armazenamento usando bibliotecas de higienização HTML padrão da indústria. Isso impede que scripts maliciosos sejam injetados na plataforma.
Nossa plataforma emprega detecção inteligente de spam com recursos persistentes de lista negra de IP. O tráfego legítimo é colocado na lista branca para minimizar falsos positivos enquanto mantém forte proteção contra atores maliciosos.
Os arquivos carregados passam por validação rigorosa, incluindo higienização de nomes de arquivo, verificação de tipo de arquivo e limites de tamanho. Caminhos de arquivo maliciosos são automaticamente rejeitados para prevenir ataques de travessia de diretório.
Consultas de busca e entradas de usuário em todo o painel estão sujeitas a restrições de comprimento e limitação de taxa, reduzindo a superfície de ataque para tentativas de injeção e abuso.
As incorporações de widgets podem ser restritas a domínios específicos com validação de domínio pai. Horas ativas baseadas em tempo reduzem ainda mais a exposição limitando quando seu chatbot pode ser acessado.
Todos os eventos relevantes para segurança são registrados, incluindo falhas de autorização, violações de limite de taxa, violações de cota e uploads de arquivo rejeitados. Isso fornece trilhas de auditoria abrangentes para análise de segurança complexa e requisitos de conformidade detalhados.
Tanto nossa infraestrutura de backend quanto o aplicativo do painel são monitorados através de rastreamento de erros de nível empresarial. Isso inclui recursos detalhados de reprodução de sessão que se ativam automaticamente quando erros ocorrem, permitindo diagnóstico e resolução rápidos.
Todos os arquivos carregados e conteúdo importado remotamente são verificados usando proteção antivírus do lado do servidor antes de serem armazenados ou processados. Isso inclui materiais de treinamento, imagens de avatar e qualquer conteúdo importado de URLs externas.
Listas brancas rigorosas regem quais tipos de arquivo podem ser carregados para diferentes propósitos. Os tamanhos de arquivo são limitados para prevenir ataques de esgotamento de recursos, e o conteúdo é validado antes do processamento.
Widgets de chat e incorporações podem ser restritos por endereço IP ou localização geográfica. Essas restrições são aplicadas em tempo real com base em sua configuração.
O tráfego de bots automatizado é detectado e filtrado de análises e telemetria, garantindo que suas métricas de engajamento reflitam interações genuínas de usuários.
Webhooks de saída incluem assinaturas HMAC que você pode verificar para garantir que as solicitações realmente se originam de nossa plataforma. Segredos de webhook são gerados com segurança e podem ser rotacionados a qualquer momento.
Eventos de webhook do Stripe são verificados usando métodos oficiais de validação de assinatura, garantindo que os eventos de faturamento sejam autênticos e não adulterados.
Integrações com WhatsApp, Instagram e outras plataformas de mensagens usam tokens de verificação, deduplicação de eventos e verificações de autenticidade para prevenir mensagens falsas e ataques de repetição.