Domain Stabilizer

Segurança

Última atualização: 18/07/2026 · Contato de segurança: security@domainstabilizer.com · Incidentes urgentes: support@domainstabilizer.com

No Domain Stabilizer, a segurança é prioridade. Esta página resume como protegemos seus dados, como respondemos a incidentes e como reportar vulnerabilidades de forma responsável.

1) Modelo e escopo

100% SaaS: hospedado em nuvem, multi‑tenant, sem agentes.

Dados processados: domínios/URLs, metadados técnicos de DNS/DMARC/SPF/DKIM/SSL/uptime, configurações da conta, e-mail de contato e telemetria de uso (consulte nossa Política de Privacidade).

Pagamentos: gerenciados pela Paddle (Merchant of Record). Não armazenamos nem processamos dados de cartão; a Paddle processa os detalhes de pagamento em infraestrutura própria compatível com PCI-DSS.

Responsabilidade compartilhada: nós protegemos a plataforma; você protege suas credenciais, acesso ao e‑mail e a configuração correta de seus domínios/serviços.

2) Proteção de dados

Criptografia em trânsito: usamos TLS para o tráfego público e as conexões com o banco de dados. HSTS está habilitado no site público principal e nos subdomínios de produção. Criptografia em repouso: nosso banco de dados primário é o Neon Postgres. A Neon criptografa os dados de clientes em repouso com AES-256 e exige TLS nas conexões com o banco de dados. Gestão de chaves: a gestão de chaves do banco de dados é feita pelo nosso provedor de banco de dados gerenciado. Atualmente não usamos customer-managed keys nem um HSM dedicado. Isolamento lógico: as contas e workspaces dos clientes são separados nos níveis de aplicação e de banco de dados. Backups e restore: o banco de dados suporta point-in-time restore e capacidades de backup/restore gerenciadas pelo provedor conforme o plano e a configuração da Neon ativos. A recuperação do VPS/servidor depende de snapshots do provedor e backups operacionais configurados para o ambiente de produção. Ainda não validamos formalmente um restore drill de todo o serviço.

3) Governança de acessos

Seguimos o princípio do menor privilégio. O acesso à produção é por SSH restrito a chaves autorizadas. Há MFA habilitado nas contas de provedor, de controle de versão e administrativas usadas para gerenciar a infraestrutura onde é suportado. A aplicação direta de MFA no nível da sessão SSH não está implementada atualmente. Os ambientes de desenvolvimento e produção são separados. Os logs operacionais incluem IDs de requisição para facilitar a resolução de problemas e a revisão de incidentes.

4) Desenvolvimento seguro (SDL)

Revisão de dependências por problemas conhecidos. Os segredos são mantidos fora do repositório de código (configuração por ambiente). Os webhooks de pagamento recebidos são verificados por assinatura HMAC antes de qualquer escrita no banco de dados. Feature flags e um modo somente leitura para mudanças controladas. Testes de unidade e de integração em áreas críticas (ex.: dedupe de alertas, runner de uptime).

5) Gestão de vulnerabilidades

Aplicamos atualizações do sistema operacional e de dependências, e revisamos advisories de segurança dos pacotes que usamos. Anunciamos janelas de manutenção quando impactam. Atualmente não realizamos pentesting formal, e não somos certificados SOC 2 nem ISO.

6) Disponibilidade e continuidade

Design stateless quando possível; os workers em segundo plano usam bloqueio CAS e retry. Objetivo operacional (não contratual, pendente de validação formal via um restore drill): RPO/RTO ≤ 24h em incidentes maiores. Monitoramento de saúde, rate‑limit e back‑pressure para proteger a plataforma.

7) Retenção e eliminação

Conservamos dados pessoais apenas pelo tempo necessário: dados da conta enquanto ativa e por um período razoável após o encerramento; logs de segurança tipicamente 30–180 dias; registros de compra conforme exigido pela lei fiscal (via Paddle). Eliminamos ou anonimizamos dados ao encerrar a conta ou sob solicitação, sujeito a uma preservação mínima legal/antifraude. Veja nossa Política de Privacidade para o detalhe.

8) Subprocessadores

Usamos provedores com salvaguardas contratuais e técnicas adequadas: infraestrutura cloud (nosso host VPS e o banco de dados Neon), e-mail transacional e Paddle (pagamentos, faturamento e impostos). A lista pode mudar; notificaremos mudanças materiais no app ou por e-mail quando aplicável.

Para mais detalhes sobre tratamento de dados e subprocessadores, consulte nossa Política de Privacidade.

9) Gestão de incidentes

Detecção e classificação; contenção e erradicação (rotação de chaves, hotfixes, feature flags); notificação aos clientes afetados sem demora indevida e, quando aplicável, em até 72h (ex.: RGPD); lições aprendidas e medidas preventivas. Avisos incluem escopo, dados afetados, ações tomadas e recomendações.

10) Divulgação responsável de vulnerabilidades

Agradecemos relatórios de segurança. E‑mail: security@domainstabilizer.com (opcional: inclua PoC e passos de reprodução). Por favor, NÃO: executar DoS, brute‑force massivo, ransomware, engenharia social ou extrair dados reais. SIM: limitar aos seus próprios recursos/conta, evitar afetar disponibilidade e respeitar privacidade. Safe‑harbor: não tomaremos ações legais por pesquisa de boa‑fé em conformidade com estas diretrizes. Não operamos bug bounty público por ora; podemos creditar você em um Hall of Fame com sua autorização.

11) Controles do cliente (boas práticas)

Proteja sua conta de e-mail com autenticação de dois fatores, use senhas únicas onde aplicável, revise quem recebe seus alertas, e restrinja o acesso nos seus próprios firewalls, DNS, hospedagem e sistemas de e-mail quando apropriado.

12) Conformidade

RGPD/LGPD: atuamos como controlador dos dados pessoais que processamos para prestar o Serviço, conforme nossa Política de Privacidade. Pagamentos: delegados à Paddle (PCI-DSS sob o escopo dela). Não somos certificados SOC 2 nem ISO 27001.

13) Mudanças e contato

Podemos atualizar esta página. Publicaremos a versão vigente com a data. Dúvidas ou solicitações de segurança: security@domainstabilizer.com

Documentos relacionados: Termos de Serviço · Política de Privacidade · Política de Reembolsos

Domain Stabilizer

Estabilização de domínios: DMARC, SSL, DNS, MX, blacklists e uptime — correções exatas e evidência do trabalho.

Conexão segura (TLS)
Práticas alinhadas ao RGPD
Suporte útil
Produto
PreçosDiagnóstico gratuito do domínio

© 2026 Domain Stabilizer. Todos os direitos reservados.

Feito com ❤️ para equipes que se importam com entrega confiável.