Política de Segurança

Última atualização: março de 2026

No TrenT Fly, a segurança dos dados dos nossos usuários é uma prioridade. Esta Política descreve as medidas técnicas e organizacionais que adotamos para proteger suas informações.

1. Criptografia e Comunicação Segura

  • HTTPS/TLS: toda comunicação entre seu navegador e nossos servidores é protegida por criptografia TLS.
  • Certificados SSL: utilizamos certificados SSL válidos e atualizados, com renovação automática.
  • Criptografia de senhas: as senhas são armazenadas utilizando algoritmos de hash seguros (bcrypt).
  • Dados sensíveis: chaves de API e tokens são armazenados como variáveis de ambiente criptografadas, nunca em código-fonte.

2. Armazenamento Seguro de Dados

  • Banco de dados PostgreSQL: dados armazenados em instâncias gerenciadas com acesso restrito e conexões criptografadas (SSL).
  • Isolamento de dados: dados de diferentes serviços são mantidos em bancos de dados separados.
  • Controle de acesso: acesso ao banco de dados restrito a serviços autorizados, com credenciais únicas.
  • Dados de pagamento: informações financeiras são processadas pelos parceiros certificados (Stripe e Mercado Pago), com certificação PCI-DSS.

3. Autenticação e Controle de Acesso

  • Autenticação segura: o login exige credenciais válidas, com proteção contra tentativas de força bruta.
  • Sessões protegidas: sessões gerenciadas com tokens seguros e expiração automática.
  • Proteção de rotas: todas as páginas com dados pessoais exigem autenticação prévia.
  • Princípio do menor privilégio: cada componente possui apenas as permissões estritamente necessárias.

4. Proteção contra Ataques

Seguimos as melhores práticas recomendadas pelo OWASP para proteger a Plataforma:

  • Injeção SQL: utilizamos consultas parametrizadas e ORM.
  • Cross-Site Scripting (XSS): conteúdo dinâmico é sanitizado antes de ser renderizado.
  • CSRF: formulários e requisições sensíveis são protegidos com tokens CSRF.
  • Rate Limiting: limites de requisições por IP para prevenir ataques de força bruta.
  • Validação de entrada: todos os dados recebidos são validados e sanitizados.
  • Cabeçalhos de segurança: configuramos cabeçalhos HTTP (CSP, X-Frame-Options, HSTS) para mitigar ataques.

5. Backups e Recuperação de Dados

  • Backups automáticos: realizamos backups regulares do banco de dados.
  • Redundância: backups armazenados em localização geograficamente separada dos servidores de produção.
  • Testes de restauração: realizamos testes periódicos para garantir a integridade dos dados.
  • Retenção de backups: mantidos por período adequado para recuperação em diferentes pontos no tempo.

6. Monitoramento e Detecção

  • Monitoramento contínuo: sistemas monitorados 24/7 para detecção de atividades anômalas.
  • Logs de auditoria: registros detalhados de acessos e operações críticas.
  • Alertas automáticos: sistemas de alerta notificam a equipe técnica em caso de eventos de segurança.
  • Análise de vulnerabilidades: verificações periódicas de segurança para identificar e corrigir vulnerabilidades.

7. Resposta a Incidentes de Segurança

Mantemos um plano de resposta a incidentes que inclui:

  • Identificação: detecção rápida e avaliação do escopo e impacto.
  • Contenção: medidas imediatas para conter o incidente.
  • Erradicação: eliminação da causa raiz do incidente.
  • Recuperação: restauração dos sistemas ao estado normal de operação.
  • Notificação: em caso de incidente relevante, notificaremos a ANPD e os titulares afetados, conforme a LGPD (art. 48).
  • Análise pós-incidente: revisão completa para implementar melhorias.

8. Atualizações e Manutenção

  • Atualizações de software: dependências e bibliotecas mantidas atualizadas com os patches de segurança mais recentes.
  • Revisão de código: todo código passa por revisão antes de ser implantado em produção.
  • Ambientes separados: ambientes de desenvolvimento, teste e produção separados.

9. Reportar Vulnerabilidades

Se você identificar uma vulnerabilidade de segurança, pedimos que nos informe de forma responsável:

Ao reportar uma vulnerabilidade, pedimos que:

  • Descreva a vulnerabilidade com o maior nível de detalhe possível.
  • Forneça passos para reproduzir o problema, se aplicável.
  • Não explore a vulnerabilidade além do necessário para demonstrá-la.
  • Não divulgue publicamente a vulnerabilidade antes que tenhamos a oportunidade de corrigi-la.

Nos comprometemos a analisar todos os relatórios e responder em tempo hábil. Agradecemos a contribuição para tornar o TrenT Fly mais seguro.

10. Contato

Para dúvidas ou preocupações sobre segurança, entre em contato:

TrenT Bear

Pronto pra viajar mais barato?

Assine o TrenT e comece a economizar nas suas viagens.

Assinar o TrenT