Segurança
LGPD e segurança
Última atualização: 15 de julho de 2026
A segurança dos seus dados é fundamental no Agappo — não é adicional. Esta página descreve as medidas técnicas e organizacionais que aplicamos para proteger a sua igreja e cumprir integralmente a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018).
1. Isolamento entre igrejas
Cada igreja no Agappo é um tenant logicamente isolado no banco de dados. Aplicamos Row-Level Security (RLS) do PostgreSQL — políticas de segurança que rodam no próprio banco e garantem que a igreja A jamais consegue enxergar dados da igreja B, nem por acidente nem por erro de código no cliente.
Toda tabela operacional tem um identificador de tenant, e todas as consultas filtram automaticamente por esse identificador vindo do token de autenticação do usuário. É uma barreira dupla: aplicação e banco.
2. Criptografia
- Em trânsito: 100% HTTPS/TLS 1.2+ obrigatório. Não aceitamos conexões inseguras
- Em repouso: banco de dados e storage do Supabase (AWS RDS PostgreSQL) usam criptografia AES-256 padrão da AWS
- Senhas: nunca armazenadas em texto claro — bcrypt via Supabase Auth
- Chaves de API: nunca expostas no cliente. A chave service role (que bypassa RLS) roda somente em edge functions server-side com escopo mínimo
3. Backups
- Diários automáticos do banco de dados operacional (retenção 7 dias no plano Basic, 30 dias no Enterprise)
- Point-in-Time Recovery (PITR) disponível nos planos superiores — restaura até o segundo exato antes de um incidente
- Storage replicado em zonas de disponibilidade separadas
4. Controle de acesso
- Permissões granulares por página × aba × ação — cada admin da igreja escolhe exatamente o que cada usuário pode ver ou modificar
- Sessões autenticadas com JWT, expiração automática, revogação imediata via logout
- Nenhum funcionário da Resolvix acessa dados de uma igreja sem solicitação expressa da igreja (para suporte), com registro em log de auditoria
5. Segurança de aplicação
- Proteção contra SQL injection — usamos ORM parametrizada em todo lugar
- Proteção contra XSS — content-security-policy restritiva, sanitização de inputs
- Proteção contra CSRF — tokens em requisições que alteram estado
- Testes automatizados de isolamento entre tenants rodam no CI a cada mudança de schema — se uma alteração vazar dados entre igrejas, o merge é bloqueado
6. Onde seus dados vivem
Dados operacionais das igrejas ficam armazenados na região South America (São Paulo) do Supabase. Isso significa latência baixa para usuários brasileiros e conformidade com preferências de residência de dados.
Subprocessadores e regiões estão listados em /privacidade.
6.1. Cookies e rastreamento na landing
A landing pública (agappo.com.br) usa cookies em três camadas com consentimento diferenciado:
- Essenciais — sessão e preferências. Sempre ativos
- Analíticos agregados — Vercel Analytics sem cookies, contagem anônima
- Marketing — Meta Pixel só ativa se você aceitar no banner de consentimento (opt-in explícito). Sem aceite, zero rastreamento de terceiros
O painel administrativo das igrejas (área logada) não usa cookies de marketing.
7. Notificação de incidentes
Se identificarmos um incidente de segurança que possa impactar dados pessoais, seguimos o protocolo da LGPD:
- Notificação aos titulares afetados em até 72 horas
- Comunicação à ANPD conforme obrigação legal
- Relatório público (agappo.com.br/status) com escopo, impacto, ações tomadas e mitigação
8. Seus direitos LGPD
Você pode a qualquer momento solicitar acesso, correção, eliminação, portabilidade ou informações sobre o tratamento dos seus dados. Detalhes e canal de contato em /privacidade.
9. Certificações e auditoria
Estamos em processo de aderir a certificações formais (ISO 27001, SOC 2). Nossa infraestrutura base (Supabase, AWS, Vercel) já possui essas certificações.
10. Contato do encarregado (DPO)
contato@resolvixsolucoes.com.br
Reporte de vulnerabilidade responsável: contato@resolvixsolucoes.com.br. Agradecemos pesquisadores que nos ajudam a manter o Agappo seguro.