trato.IMOBVoltar ao site ↗

Segurança por arquitetura

Como protegemos o processo

Segurança não é um selo. É um conjunto de decisões técnicas, operacionais e contratuais que precisa ser testado continuamente.

Versão de 18 de julho de 2026.

1. Limite por organização

Cada imobiliária ou corretor autônomo forma uma organização isolada. Consultas e gravações exigem o identificador da organização e autorização por função. A interface não é a barreira de segurança: o servidor reaplica a autorização em cada operação.

2. Identidade e dispositivo

O aplicativo foi preparado para magic link e Entrar com Apple, sessão curta no Keychain sem sincronização e bloqueio local por Face ID ou código. Operações críticas incluem chave de idempotência e o servidor está preparado para validar App Attest antes da produção ampla.

3. Dados e documentos

Campos pessoais críticos usam criptografia autenticada por organização. Arquivos ficam em armazenamento privado, com tipo e tamanho limitados, metadados mínimos e associação explícita ao dossiê. Rascunhos móveis usam proteção de arquivo e expiração.

Antimalware produtivo, rotação formal de chaves e teste periódico de restauração permanecem requisitos de lançamento comercial.

4. Auditoria e integridade

Eventos relevantes geram trilha append-only encadeada por hashes. Isso ajuda a detectar alteração de histórico, mas não transforma conteúdo incorreto em conteúdo verdadeiro nem substitui uma cadeia oficial de registro.

5. Integrações resilientes

Imoview, assinatura e calendários são chamados no servidor. Credenciais não ficam no navegador ou no iPhone. Trabalhos externos recebem idempotência, repetição com atraso, fila de falhas, alerta e conciliação; “enviado” e “sincronizado” são estados diferentes.

6. Controles web

O site aplica HTTPS, HSTS, política de conteúdo, bloqueio de incorporação, restrição de permissões do navegador, proteção contra interpretação indevida de conteúdo e política de referência. Rotas privadas usam resposta sem cache.

7. Incidentes

O processo previsto inclui contenção, preservação de evidências, análise de escopo, correção, comunicação contratual e avaliação de risco aos titulares. Incidentes relevantes devem ser comunicados pelo controlador à ANPD e aos titulares no prazo regulatório aplicável.

8. O que falta antes da escala

  • teste de intrusão independente e correção das evidências encontradas;
  • revisão jurídica dos modelos e contratos de tratamento;
  • antimalware e verificação avançada dos documentos;
  • teste de restauração, continuidade e rotação de chaves;
  • monitoramento de produção, alerta 24/7 e rotina de resposta;
  • RIPD e inventário de dados aprovados para o uso real.

Não afirmamos segurança absoluta. O piloto fica limitado até que os controles dependentes de infraestrutura, pessoas e fornecedores tenham evidência de operação.