Segurança & privacidade

Chaves de gateway de pagamento, tokens de API e segredos sensíveis cifrados com GCM antes de ir pro banco. Chave-mestra rotacionável via variável de ambiente.

Cloudflare na borda + HSTS preload + cifras modernas (ECDHE). Versões TLS abaixo de 1.2 bloqueadas no edge.

Via Supabase Auth. Nenhum lugar do código manipula senha em texto plano.

Postgres RLS força filtro por studio_id em cada query — mesmo que código de aplicação tenha bug, banco não retorna dado de outro estúdio.

Buckets Supabase com policies que validam owner. Fotos antes/depois e anexos clínicos não vazam entre tenants.

Cookie httpOnly + SameSite=Lax. JWT validado server-side em cada request via middleware do Next.js.

Content Security Policy gerada por request com nonce único. Scripts inline só executam com o nonce, bloqueando XSS clássico.

Buckets separados pra autenticação (mais restrito), cron (token-based) e API geral. Mitiga brute-force e enumeration.

Bloqueio total de clickjacking. Janelas separadas pra isolamento cross-origin (Spectre).

Zod em todo input de tRPC + REST público. Tipos derivados garantem que validação e schema vivem juntos.

Tabela audit_logs com quem/quando/o quê em mudanças financeiras, billing, master, impersonation. Sem DELETE — só append.

Toda ação de super_admin (impersonate, reset de senha lojista, override de billing) loga em master_audit_log separado, com IP e user agent.

Cron processa solicitações em até 15 dias. Estúdio recebe e-mail confirmando ação. Histórico mantido em log encriptado.

Supabase Postgres com PITR. Restauração granular por minuto, sem perda além de 1 segundo.

Cópia full do banco, geograficamente redundante (AWS us-east-1 → cross-region).