Segurança

01. Autenticação e acesso

• Senhas armazenadas apenas como hash bcrypt — nunca em texto puro.
• Verificação em duas etapas (MFA) por e-mail, com código de uso único e validade limitada.
• Login social via Google OAuth, como alternativa segura à senha.
• Sessões assinadas (JWT) e proteção de rotas no servidor.

02. Isolamento de dados (multi-tenant)

Cada organização (tenant) tem seus dados isolados. Assistentes, documentos e conversas só são acessíveis dentro do tenant a que pertencem, com verificação de propriedade em cada requisição (proteção contra acesso indevido / IDOR).

03. Proteção da aplicação

• Criptografia em trânsito (HTTPS/TLS) e cabeçalhos de segurança (CSP, HSTS, X-Frame-Options).
• Proteção contra SSRF nas integrações externas (bloqueio de redes internas/metadata).
• Rate-limiting em login, MFA e na API pública, por conta e por plano.
• Validação de entrada e consultas parametrizadas (proteção contra injeção de SQL).

04. Guardrails de IA

O motor aplica verificações de segurança (safety check) sobre as instruções dos assistentes e oferece guardrails por domínio (por exemplo, conformidade para saúde e finanças), além de detecção e anonimização de dados pessoais.

05. Chaves de API

As chaves da API pública (prefixo evh_live_) são exibidas uma única vez na criação e armazenadas apenas como hash. Você pode revogar qualquer chave a qualquer momento, com efeito imediato.

06. Trilha de auditoria

Eventos relevantes de uso são registrados com identificação por organização, permitindo monitoramento de consumo, latência e investigação de incidentes.

07. Gestão de segredos

Chaves de provedores e segredos de aplicação ficam fora do código-fonte, em variáveis de ambiente e cofres de segredos no ambiente de produção. Recomendamos a rotação periódica de credenciais.

08. Relate uma vulnerabilidade

Encontrou um problema de segurança? Escreva para support@evoris.vip com o máximo de detalhes. Agradecemos a divulgação responsável e nos comprometemos a responder com prioridade.