Segurança e Privacidade

Esta página é mantida pelos responsáveis pela OBBO para responder dúvidas comuns sobre como protegemos seus dados e os dos seus clientes. Não é uma certificação independente; descreve controles efetivamente ativos no produto hoje.

Isolamento entre empresas

Cada empresa-cliente é um tenant isolado no banco. Toda leitura e escrita passa por Row Level Security (RLS) no Postgres, validada em todas as 20 tabelas do sistema. É impossível para o usuário de uma empresa enxergar ou modificar dados de outra, mesmo que tente manipular requisições.

Autenticação e papéis

Login com e-mail/senha (com verificação contra a base Have I Been Pwned) e Google OAuth. Papéis (super admin, owner, admin, atendente) ficam em tabela própria — nunca no perfil do usuário — para evitar escalonamento de privilégios. Apenas super admins podem promover ou rebaixar usuários.

Webhooks verificados

Todos os webhooks públicos (Kiwify, Cakto, PerfectPay, WhatsApp) exigem token secreto válido e fazem checagem de idempotência: o mesmo evento externo nunca é processado duas vezes, evitando duplicidade de cobrança ou mensagens.

Dados em trânsito e em repouso

Toda comunicação usa TLS 1.2+. O banco é hospedado em infraestrutura gerenciada com criptografia em repouso. Chaves de API (Google, WhatsApp e gateways de pagamento) ficam em cofre de secrets — nunca no código do projeto nem expostas ao navegador.

Auditoria de ações sensíveis

Ações de super admin (impersonar empresa, alterar plano, mudar papéis, suspender empresa) são registradas em log imutável com ator, alvo, IP e horário. O log fica acessível apenas para super admins.

Rate limiting e antiban WhatsApp

Limites automáticos: 6 mensagens/10min por contato, 20/min por empresa. Respeito a janela de 24h do WhatsApp e detecção de palavras de opt-out ("parar", "cancelar", "sair") que pausam a IA imediatamente — reduzindo risco de banimento do número.

Conformidade LGPD

Coletamos apenas o necessário para o funcionamento do serviço. Cada empresa-cliente é controladora dos próprios dados de leads e mensagens; a OBBO atua como operadora. Política de retenção configurável por empresa. Pedidos de exportação ou exclusão de dados podem ser feitos diretamente pelo titular via suporte.

Reportar vulnerabilidade

Encontrou um problema de segurança? Não publique. Entre em contato direto pelo WhatsApp de suporte abaixo. Respondemos em até 48 horas úteis e não tomamos medidas legais contra pesquisadores que sigam disclosure responsável.

Contato de segurança

Para reportar vulnerabilidades ou solicitar exportação/exclusão de dados pessoais:

WhatsApp: (11) 91306-7966

Última atualização: julho de 2026.