Voltar

Segurança

Como protegemos seus dados com criptografia de ponta e arquitetura zero-knowledge.

Última atualização: 10 de dezembro de 2024

1. Nossa Filosofia de Segurança

A segurança não é um recurso adicional no LexPass — é a fundação de tudo que construímos. Adotamos o princípio de segurança por design: cada decisão arquitetural, cada linha de código, e cada processo operacional é avaliado sob a ótica de segurança.

Nosso objetivo é que você possa confiar suas credenciais mais sensíveis ao LexPass, sabendo que nem mesmo nossa equipe tem acesso a elas.

2. Arquitetura Zero-Knowledge

O LexPass utiliza uma arquitetura de conhecimento zero (zero-knowledge). Isso significa:

  • Criptografia Local: Todos os dados sensíveis são criptografados no seu dispositivo antes de serem transmitidos;
  • Chaves Derivadas: Sua Senha Mestra nunca é enviada para nossos servidores. Dela derivamos as chaves de criptografia localmente;
  • Sem Acesso: Não temos capacidade técnica de acessar o conteúdo descriptografado de suas credenciais;
  • Prova de Conceito: Mesmo sob ordem judicial, não conseguiríamos entregar dados legíveis — apenas dados criptografados.

3. Criptografia em Detalhes

3.1. Criptografia Simétrica

  • Algoritmo: AES-256-GCM (Advanced Encryption Standard)
  • Tamanho da Chave: 256 bits
  • Modo: GCM (Galois/Counter Mode) com autenticação integrada
  • IV/Nonce: 96 bits gerados aleatoriamente para cada operação de criptografia

O AES-256 é o padrão de criptografia utilizado por governos e instituições financeiras em todo o mundo. O modo GCM adiciona autenticação, garantindo que dados adulterados sejam detectados.

3.2. Derivação de Chaves

  • Algoritmo: PBKDF2 (Password-Based Key Derivation Function 2)
  • Hash: SHA-256
  • Iterações: 600.000 (mínimo, ajustado por hardware)
  • Salt: 128 bits, único por usuário, gerado criptograficamente

O alto número de iterações torna ataques de força bruta computacionalmente inviáveis, mesmo com hardware especializado.

3.3. Criptografia Assimétrica

  • Algoritmo: RSA-OAEP (Optimal Asymmetric Encryption Padding)
  • Tamanho da Chave: 4096 bits
  • Hash: SHA-256
  • Uso: Compartilhamento seguro de chaves de cofres entre membros da equipe

Cada usuário possui um par de chaves RSA. A chave privada é criptografada com a Master Key e só pode ser acessada pelo próprio usuário.

3.4. Trânsito de Dados

  • Protocolo: TLS 1.3
  • Certificados: Renovados automaticamente, sem wildcards
  • HSTS: Habilitado com max-age de 1 ano
  • Certificate Pinning: Em aplicações nativas (roadmap)

4. Processo de Criptografia

4.1. Criação da Conta

  1. Usuário define a Senha Mestra;
  2. Um Salt único é gerado criptograficamente;
  3. A Master Key é derivada usando PBKDF2;
  4. Um par de chaves RSA (pública/privada) é gerado;
  5. A chave privada RSA é criptografada com a Master Key;
  6. São enviados ao servidor: Salt, chave pública, e chave privada criptografada.

Importante: A Senha Mestra e a Master Key nunca deixam o dispositivo.

4.2. Criação de Credencial

  1. Dados sensíveis (senha, TOTP) são criptografados com AES-256-GCM;
  2. A chave AES do cofre é criptografada com a chave pública RSA do usuário;
  3. Apenas dados criptografados são enviados ao servidor.

4.3. Compartilhamento com Equipe

  1. A chave do cofre é descriptografada com a chave privada do proprietário;
  2. A mesma chave é re-criptografada com a chave pública de cada membro;
  3. Cada membro recebe uma cópia da chave criptografada especificamente para ele.

5. Segurança da Infraestrutura

5.1. Hospedagem

  • Provedores de nuvem com certificação SOC 2 Type II, ISO 27001;
  • Data centers com redundância física e controle de acesso rigoroso;
  • Segregação de ambientes (produção, staging, desenvolvimento).

5.2. Banco de Dados

  • Criptografia em repouso: AES-256;
  • Backups: Criptografados, armazenados em região geográfica diferente;
  • Acesso: Restrito via VPC, sem exposição pública.

5.3. Monitoramento

  • Logs de auditoria imutáveis;
  • Detecção de intrusão em tempo real;
  • Alertas automatizados para atividades suspeitas;
  • Revisão periódica de logs de acesso.

6. Segurança do Aplicativo

6.1. Autenticação

  • Autenticação multifator (MFA) disponível;
  • Proteção contra ataques de força bruta com rate limiting;
  • Sessões com timeout configurável pelo usuário;
  • Invalidação de sessões em dispositivos suspeitos.

6.2. Desenvolvimento Seguro

  • Code review obrigatório para todas as alterações;
  • Análise estática de segurança (SAST) no CI/CD;
  • Gestão de dependências com alertas de vulnerabilidades;
  • Princípio do menor privilégio em todo o código.

6.3. Proteções Web

  • CSP: Content Security Policy restritiva;
  • XSS: Sanitização de inputs e outputs;
  • CSRF: Tokens de proteção em todas as mutações;
  • SQL Injection: Queries parametrizadas via ORM.

7. Resposta a Incidentes

Mantemos um plano de resposta a incidentes que inclui:

  • Detecção: Monitoramento 24/7 com alertas automatizados;
  • Contenção: Isolamento imediato de sistemas afetados;
  • Investigação: Análise forense por equipe especializada;
  • Comunicação: Notificação aos usuários afetados em até 72 horas;
  • Remediação: Correção de vulnerabilidades e hardening;
  • Revisão: Análise post mortem e melhorias contínuas.

8. Auditoria e Conformidade

  • LGPD: Conformidade total com a Lei Geral de Proteção de Dados;
  • Auditorias: Revisões periódicas de segurança;
  • Penetration Testing: Testes de intrusão regulares por terceiros;
  • Bug Bounty: Programa de recompensa para vulnerabilidades (em implementação).

9. Suas Responsabilidades

A segurança é uma responsabilidade compartilhada. Recomendamos:

  • Utilize uma Senha Mestra forte e única;
  • Ative a autenticação multifator quando disponível;
  • Não compartilhe suas credenciais de acesso;
  • Mantenha seus dispositivos atualizados e protegidos;
  • Reporte atividades suspeitas imediatamente.

10. Contato de Segurança

Para reportar vulnerabilidades ou questões de segurança:

  • E-mail: security@lexpass.com.br
  • PGP: Chave pública disponível mediante solicitação

Respondemos a todos os relatórios de segurança em até 48 horas úteis.