Pular para o conteúdo
postato

Segurança

Última atualização: 2026-04-08

Esta página descreve como o Postato protege os dados dos clientes e como pesquisadores de segurança podem reportar vulnerabilidades de forma responsável. O Postato está em desenvolvimento ativo. À medida que a plataforma evolui, esta página será atualizada para refletir mudanças em práticas e escopo.

1. Visão geral

O Postato é um mediador entre você e as redes sociais que você conecta. O Postato nunca armazena as credenciais (login e senha) dessas redes e nunca gera conteúdo em seu nome. O modelo de segurança é construído em torno de três objetivos: manter seus tokens de autorização seguros, manter os espaços de trabalho estritamente isolados e tornar cada entrega auditável.

2. Como protegemos seus dados

As proteções abaixo estão implementadas no código de produção, não são aspirações.

  • Criptografia em trânsito. Todas as interações com a API REST, com o servidor MCP e com o painel web usam HTTPS (TLS).
  • Criptografia em repouso. Tokens OAuth de redes sociais conectadas e segredos de webhooks de saída são armazenados criptografados com AES-256-GCM.
  • Credenciais com hash. API keys, tokens OAuth de acesso, tokens OAuth de refresh e senhas de usuário são armazenados apenas como hashes de mão única (SHA-256 ou equivalente). O valor em texto claro de uma API key é exibido a você uma única vez, no momento da criação, e não pode ser recuperado depois.
  • Isolamento por espaço de trabalho. Dados pertencentes a um espaço de trabalho não são acessíveis a outro por construção. Toda consulta ao banco é escopada por um identificador de tenant.
  • Proteção contra SSRF. Requisições de saída para URLs de mídia são validadas antes do fetch. Requisições direcionadas a faixas de rede privada (RFC 1918), ao serviço de metadados de instância da AWS (169.254.0.0/16) e a URLs não-HTTPS são bloqueadas no ponto de entrada.
  • Assinatura de webhooks. Toda entrega de webhook de saída é assinada com HMAC-SHA256, usando um segredo por tenant, e inclui um timestamp para prevenir replay. O receptor deve verificar a assinatura antes de processar o evento.
  • Idempotência. Submissões que incluem o cabeçalho Idempotency-Key não podem produzir publicações duplicadas em reentregas, mesmo após reconexões.

3. Autenticação

O Postato aceita três modos de autenticação, cada um com seu propósito:

  • API keys no formato smcp_*, transmitidas via cabeçalho Authorization: Bearer. Usadas por clientes REST e clientes MCP que preferem acesso baseado em chave.
  • Sessões web para o painel, gerenciadas via cookies HttpOnly.
  • MCP OAuth 2.0 com PKCE (S256), com suporte a Dynamic Client Registration (RFC 7591). Usado por agentes de IA cientes de MCP que preferem um fluxo de autorização delegado.

Tokens emitidos por qualquer um desses fluxos são armazenados com hash e podem ser revogados a qualquer momento.

4. Segurança operacional

  • A saúde do serviço é monitorada continuamente e incidentes são acompanhados na página de status pública.
  • O acesso interno à infraestrutura de produção segue o princípio de mínimo privilégio.
  • Dependências da aplicação são revisadas antes da adoção e atualizadas em resposta a vulnerabilidades divulgadas.
  • Submissões são validadas no ponto de entrada da API. Cargas malformadas, formatos de mídia não suportados ou valores fora dos limites técnicos da plataforma de destino são rejeitados antes de chegar à fila.

5. Reportando uma vulnerabilidade

Se você acredita ter encontrado uma vulnerabilidade de segurança no Postato, queremos saber.

Como reportar. Envie os detalhes para legal@postato.com.br com [SECURITY] no assunto.

O que incluir.

  • Descrição clara do problema e do impacto potencial
  • Passos para reproduzir
  • Qualquer prova de conceito, capturas de tela ou requisições HTTP que ajudem a reproduzir
  • Seu nome e contato, se quiser ser reconhecido

O que esperar.

  • Confirmamos o recebimento em até 2 dias úteis
  • Fornecemos uma avaliação inicial em até 7 dias úteis
  • Mantemos você informado do progresso até a resolução do problema
  • Coordenamos o momento da divulgação com você

Janela de divulgação coordenada. Seguimos uma janela de divulgação coordenada de 90 dias. O Postato se compromete a corrigir ou a fornecer um cronograma claro dentro de 90 dias a partir do seu reporte inicial. Após essa janela, você está livre para divulgar publicamente.

6. Safe harbor

O Postato não tomará ação legal contra pesquisadores de segurança que reportarem vulnerabilidades em boa-fé, dentro do escopo definido abaixo, e seguindo as regras de conduta.

No escopo.

  • Sistemas de produção em *.postato.com.br
  • A API REST do Postato
  • O servidor MCP do Postato
  • O painel web do Postato

Fora do escopo.

  • Ataques de negação de serviço (DoS) de qualquer tipo
  • Engenharia social direcionada a funcionários, prestadores de serviço ou usuários
  • Ataques físicos contra qualquer infraestrutura
  • Reportes de vulnerabilidades em dependências de terceiros que já são publicamente conhecidas e têm um aviso publicado
  • Achados que exigem acesso físico ao dispositivo de uma vítima
  • Reportes baseados unicamente em cabeçalhos de segurança ausentes, saída automatizada de scanners, ou ausência de SPF/DKIM/DMARC, a menos que um impacto concreto seja demonstrado

Regras de conduta.

  • Não acesse, modifique ou destrua dados que não pertençam a você
  • Não exfiltre mais dados do que o estritamente necessário para demonstrar o problema
  • Não interrompa o serviço nem degrade a experiência de outros usuários
  • Não divulgue a vulnerabilidade publicamente antes de o Postato ter tido uma oportunidade razoável de corrigi-la, dentro da janela de 90 dias
  • Cumpra a legislação aplicável

Pesquisadores que seguirem essas regras e reportarem em boa-fé serão considerados autorizados para os fins desses testes, e o Postato não iniciará nem apoiará qualquer denúncia contra eles.

7. Reconhecimentos

Esta seção será populada à medida que pesquisadores reportarem vulnerabilidades de forma responsável. Os autores dos reportes são listados apenas com sua permissão explícita.

8. Programa de recompensas

O Postato não opera um programa de recompensa por bugs (bug bounty) pago no momento. Durante o acesso antecipado, o reconhecimento público (com sua permissão) é a única forma de recompensa disponível. Isso pode mudar quando o Postato sair do acesso antecipado. Qualquer programa pago futuro será anunciado nesta página.

9. Alterações nesta página

Esta página pode ser atualizada. A data de "Última atualização" no topo reflete a versão mais recente. Mudanças materiais no processo de divulgação serão comunicadas na página de status e nesta página.

10. Contato

Para reportes de segurança e dúvidas sobre esta política: legal@postato.com.br