A segurança dos dados dos nossos clientes é fundamental. Esta página descreve os controlos técnicos e organizacionais actualmente em vigor na plataforma MzansiBot, mantidos pela MzansiBot (Pty) Ltd.
1. Encriptação
- TLS 1.2+ em todos os endpoints públicos (HTTPS obrigatório).
- Encriptação em repouso via infra-estrutura Supabase / Cloudflare R2 (AES-256).
- Credenciais de integrações (WhatsApp, Stripe, SARS eFiling) armazenadas cifradas por chave dedicada.
2. Controlo de acesso
- Autenticação por e-mail/senha e OAuth. MFA disponível para todos os utilizadores.
- Row-Level Security (RLS) aplicada em cada tabela multi-tenant no Supabase.
- Papéis (roles) separados em tabela dedicada, sem escalada de privilégios via UI.
- Rotina de rotação de chaves e princípio de menor privilégio para acessos internos.
3. Auditoria e logs
- Registo de acessos administrativos, alterações de configuração e chamadas críticas de API.
- Retenção de logs por 12 meses.
- Detecção de anomalias em autenticação e uso de créditos.
4. Resposta a incidentes
- Runbook interno com triagem, contenção e comunicação.
- Notificação ao Information Regulator (POPIA §22) e às autoridades competentes nos prazos exigidos.
- Contacto de segurança: security@mzansibot.com.
5. Reporte de vulnerabilidades
Se descobrires uma vulnerabilidade, envia detalhes para security@mzansibot.com. Pedimos divulgação responsável — não explores nem divulgues publicamente antes da correcção.
6. Continuidade e backups
- Backups automáticos da base de dados com retenção por 30 dias.
- Infra-estrutura redundante — resiliente a load-shedding em África do Sul.
- RTO alvo de 4 horas e RPO alvo de 1 hora para dados transaccionais.
7. Responsabilidade partilhada
A MzansiBot é responsável pela segurança da plataforma. Como cliente, és responsável pela segurança na plataforma — senhas fortes, MFA activo, controlo de utilizadores da tua organização e classificação do conteúdo que carregas.
Esta página é mantida pela MzansiBot (Pty) Ltd. Não substitui certificações independentes (ex.: ISO 27001, SOC 2), quando aplicáveis serão divulgadas nesta página.
