Última atualização: 18/07/2026 · Contato de segurança: security@domainstabilizer.com · Incidentes urgentes: support@domainstabilizer.com
No Domain Stabilizer, a segurança é prioridade. Esta página resume como protegemos seus dados, como respondemos a incidentes e como reportar vulnerabilidades de forma responsável.
100% SaaS: hospedado em nuvem, multi‑tenant, sem agentes.
Dados processados: domínios/URLs, metadados técnicos de DNS/DMARC/SPF/DKIM/SSL/uptime, configurações da conta, e-mail de contato e telemetria de uso (consulte nossa Política de Privacidade).
Pagamentos: gerenciados pela Paddle (Merchant of Record). Não armazenamos nem processamos dados de cartão; a Paddle processa os detalhes de pagamento em infraestrutura própria compatível com PCI-DSS.
Responsabilidade compartilhada: nós protegemos a plataforma; você protege suas credenciais, acesso ao e‑mail e a configuração correta de seus domínios/serviços.
Criptografia em trânsito: usamos TLS para o tráfego público e as conexões com o banco de dados. HSTS está habilitado no site público principal e nos subdomínios de produção. Criptografia em repouso: nosso banco de dados primário é o Neon Postgres. A Neon criptografa os dados de clientes em repouso com AES-256 e exige TLS nas conexões com o banco de dados. Gestão de chaves: a gestão de chaves do banco de dados é feita pelo nosso provedor de banco de dados gerenciado. Atualmente não usamos customer-managed keys nem um HSM dedicado. Isolamento lógico: as contas e workspaces dos clientes são separados nos níveis de aplicação e de banco de dados. Backups e restore: o banco de dados suporta point-in-time restore e capacidades de backup/restore gerenciadas pelo provedor conforme o plano e a configuração da Neon ativos. A recuperação do VPS/servidor depende de snapshots do provedor e backups operacionais configurados para o ambiente de produção. Ainda não validamos formalmente um restore drill de todo o serviço.
Seguimos o princípio do menor privilégio. O acesso à produção é por SSH restrito a chaves autorizadas. Há MFA habilitado nas contas de provedor, de controle de versão e administrativas usadas para gerenciar a infraestrutura onde é suportado. A aplicação direta de MFA no nível da sessão SSH não está implementada atualmente. Os ambientes de desenvolvimento e produção são separados. Os logs operacionais incluem IDs de requisição para facilitar a resolução de problemas e a revisão de incidentes.
Revisão de dependências por problemas conhecidos. Os segredos são mantidos fora do repositório de código (configuração por ambiente). Os webhooks de pagamento recebidos são verificados por assinatura HMAC antes de qualquer escrita no banco de dados. Feature flags e um modo somente leitura para mudanças controladas. Testes de unidade e de integração em áreas críticas (ex.: dedupe de alertas, runner de uptime).
Aplicamos atualizações do sistema operacional e de dependências, e revisamos advisories de segurança dos pacotes que usamos. Anunciamos janelas de manutenção quando impactam. Atualmente não realizamos pentesting formal, e não somos certificados SOC 2 nem ISO.
Design stateless quando possível; os workers em segundo plano usam bloqueio CAS e retry. Objetivo operacional (não contratual, pendente de validação formal via um restore drill): RPO/RTO ≤ 24h em incidentes maiores. Monitoramento de saúde, rate‑limit e back‑pressure para proteger a plataforma.
Conservamos dados pessoais apenas pelo tempo necessário: dados da conta enquanto ativa e por um período razoável após o encerramento; logs de segurança tipicamente 30–180 dias; registros de compra conforme exigido pela lei fiscal (via Paddle). Eliminamos ou anonimizamos dados ao encerrar a conta ou sob solicitação, sujeito a uma preservação mínima legal/antifraude. Veja nossa Política de Privacidade para o detalhe.
Usamos provedores com salvaguardas contratuais e técnicas adequadas: infraestrutura cloud (nosso host VPS e o banco de dados Neon), e-mail transacional e Paddle (pagamentos, faturamento e impostos). A lista pode mudar; notificaremos mudanças materiais no app ou por e-mail quando aplicável.
Para mais detalhes sobre tratamento de dados e subprocessadores, consulte nossa Política de Privacidade.
Detecção e classificação; contenção e erradicação (rotação de chaves, hotfixes, feature flags); notificação aos clientes afetados sem demora indevida e, quando aplicável, em até 72h (ex.: RGPD); lições aprendidas e medidas preventivas. Avisos incluem escopo, dados afetados, ações tomadas e recomendações.
Agradecemos relatórios de segurança. E‑mail: security@domainstabilizer.com (opcional: inclua PoC e passos de reprodução). Por favor, NÃO: executar DoS, brute‑force massivo, ransomware, engenharia social ou extrair dados reais. SIM: limitar aos seus próprios recursos/conta, evitar afetar disponibilidade e respeitar privacidade. Safe‑harbor: não tomaremos ações legais por pesquisa de boa‑fé em conformidade com estas diretrizes. Não operamos bug bounty público por ora; podemos creditar você em um Hall of Fame com sua autorização.
Proteja sua conta de e-mail com autenticação de dois fatores, use senhas únicas onde aplicável, revise quem recebe seus alertas, e restrinja o acesso nos seus próprios firewalls, DNS, hospedagem e sistemas de e-mail quando apropriado.
RGPD/LGPD: atuamos como controlador dos dados pessoais que processamos para prestar o Serviço, conforme nossa Política de Privacidade. Pagamentos: delegados à Paddle (PCI-DSS sob o escopo dela). Não somos certificados SOC 2 nem ISO 27001.
Podemos atualizar esta página. Publicaremos a versão vigente com a data. Dúvidas ou solicitações de segurança: security@domainstabilizer.com
Documentos relacionados: Termos de Serviço · Política de Privacidade · Política de Reembolsos
Estabilização de domínios: DMARC, SSL, DNS, MX, blacklists e uptime — correções exatas e evidência do trabalho.
© 2026 Domain Stabilizer. Todos os direitos reservados.