Confiança

Segurança da Wuuub

A Wuuub trata dados financeiros e pessoais. Esta página descreve as práticas técnicas, contratuais e operacionais que usamos para proteger sua conta e a dos seus clientes, e como reportar vulnerabilidades.

Autenticação e sessão

Senhas armazenadas com Argon2id (memória 19 MiB, t=2) com parâmetros pinned conforme OWASP. Sessão emitida como JWT em cookie HttpOnly, SameSite=lax, Secure em produção. Cada token tem identificador único (JTI) revogável; trocar a senha invalida sessões anteriores.

Recuperação de senha via token de uso único (hash em repouso), expiração de 1 hora, sem enumeração de e-mail.

Pagamentos

Não armazenamos dados de cartão. Cobranças são processadas pela AbacatePay. Webhooks são verificados por HMAC-SHA256 com comparação em tempo constante; o status PAID local só é aplicado após reconciliar diretamente com o provedor, mitigando o risco de webhook forjado mesmo se o segredo vazar.

Armazenamento

Comprovantes de pagamento ficam em bucket privado (S3-compatível) com URLs assinadas de curta duração (5 minutos por padrão). O backend valida MIME, extensão e magic number do arquivo antes de gravar. PDFs servidos com sandbox CSP para neutralizar JavaScript embarcado.

Banco PostgreSQL com criptografia em trânsito e em repouso, backups automáticos diários.

Isolamento multi-tenant

Todos os recursos são vinculados a um workspaceId; cada consulta inclui o workspaceId do usuário autenticado. Auditamos regularmente o código para confirmar o isolamento.

Monitoramento e operação

Trilha de auditoria append-only para todas as ações privilegiadas (admin), com ator identificado por JWT assinado pelo painel admin. Logs com redação de campos sensíveis (senhas, tokens, CPF/CNPJ, headers de autorização).

Resposta a incidentes

Em caso de incidente de segurança que possa gerar risco ou dano relevante, notificamos os titulares afetados e a ANPD nos termos da regulamentação aplicável. Mantemos plano de resposta documentado internamente.

Divulgação responsável de vulnerabilidades

Encontrou uma falha? Reporte para security@wuuub.com.br. Pedimos que evite acessar dados de outros usuários, evite ataques que possam degradar o serviço, e nos dê um prazo razoável para correção antes de divulgar publicamente.

Não temos programa formal de recompensa por enquanto, mas reconhecemos publicamente quem ajudou a melhorar a Wuuub (com a sua permissão).

Contato

Privacidade / LGPD: privacidade@wuuub.com.br.

Para Termos: /termos. Para Privacidade: /privacidade.