O Clube Drop adota práticas de segurança da informação alinhadas às melhores referências do setor e às exigências da LGPD (Lei nº 13.709/2018). Esta política é aplicada a toda a plataforma, integrações e dados de lojistas e parceiros.
Esta Política de Segurança da Informação descreve os controles técnicos e organizacionais implementados pelo Clube Drop para garantir a confidencialidade, integridade e disponibilidade das informações dos lojistas, parceiros e usuários da plataforma. Aplicamos esta política a todos os sistemas, dados e processos que compõem a plataforma Clube Drop, incluindo a integração com a Nuvemshop.
Classificamos as informações em três níveis: • Confidencial: dados pessoais de lojistas (nome, e-mail, CPF/CNPJ, endereço), credenciais de acesso, tokens de integração com Nuvemshop e Mercado Pago. Acesso restrito a sistemas autorizados e equipe interna com necessidade de uso. • Interno: dados operacionais da plataforma (pedidos, produtos, logs de sistema). Acesso restrito a colaboradores autorizados. • Público: informações divulgadas no site, blog e central de ajuda. Sem restrição de acesso.
• Autenticação por JWT (JSON Web Token) com expiração configurada e versionamento de token — tokens revogados imediatamente em caso de logout ou suspeita de comprometimento. • Senhas de usuários armazenadas exclusivamente em hash bcrypt (fator de custo 10) — nunca em texto puro ou formato reversível. • Princípio do menor privilégio: cada componente do sistema acessa apenas os dados estritamente necessários para sua função. • Tokens de integração com plataformas externas (Nuvemshop, Mercado Pago) armazenados de forma isolada, com acesso controlado por camada de serviço. • Acesso administrativo à infraestrutura protegido por autenticação de dois fatores (2FA).
• Toda comunicação entre clientes e servidores é realizada exclusivamente via HTTPS (TLS 1.2+). • Certificados SSL/TLS gerenciados e renovados automaticamente via Let's Encrypt. • APIs internas e externas utilizam validação de origem (CORS) e verificação de autenticidade via HMAC-SHA256 para webhooks (incluindo os webhooks LGPD da Nuvemshop). • Nenhum dado sensível é transmitido via parâmetros de URL.
• Aplicação hospedada em infraestrutura de nuvem com redundância geográfica (Vercel para o frontend, com proteção DDoS e rede de borda global). • Segregação de camadas: frontend, backend e banco de dados operam em ambientes isolados, com comunicação restrita entre si. • Proteção de rede via Cloudflare: WAF (Web Application Firewall), bloqueio de bots maliciosos, rate limiting de borda e proteção DDoS volumétrica. • Cabeçalhos HTTP de segurança configurados via Helmet.js (HSTS, X-Frame-Options, Content-Security-Policy, X-Content-Type-Options). • Rate limiting no backend: máximo de 300 requisições por IP a cada 15 minutos (global) e 20 tentativas por IP a cada 15 minutos nas rotas de autenticação. • Banco de dados MongoDB com acesso restrito por lista de IPs autorizados e autenticação obrigatória. • Variáveis de ambiente e segredos gerenciados via arquivos .env — nunca versionados em repositórios de código. • Backups automáticos do banco de dados com retenção mínima de 7 dias. • Monitoramento de disponibilidade e alertas automáticos em caso de falha.
• Revisão de código antes de qualquer deploy em produção. • Dependências de terceiros auditadas periodicamente — atualizações de segurança aplicadas em até 72 horas após divulgação de vulnerabilidade crítica. • Validação e sanitização de todos os inputs de usuário para prevenção de injeção (SQL Injection, NoSQL Injection, XSS). • Proteção contra CSRF implementada nas rotas que alteram dados. • Rate limiting nas rotas de autenticação para prevenção de ataques de força bruta.
O Clube Drop integra-se com os seguintes parceiros, todos com reconhecidas práticas de segurança: • Nuvemshop: plataforma de e-commerce — dados compartilhados conforme escopo da integração autorizado pelo lojista. • Mercado Pago: processador de pagamentos certificado PCI DSS — o Clube Drop não armazena dados de cartão de crédito. • Cloudinary: armazenamento de imagens com CDN seguro. • Brevo: plataforma de e-mail transacional com conformidade GDPR/LGPD. • Vercel: infraestrutura de hospedagem do frontend com proteção DDoS e rede global. Todos os parceiros são avaliados quanto às suas práticas de segurança e privacidade antes da integração.
Em caso de incidente de segurança que possa afetar dados de usuários: 1. Contenção imediata — isolamento do sistema ou conta afetada. 2. Investigação — identificação da causa raiz e extensão do impacto. 3. Notificação — usuários afetados serão notificados por e-mail em até 72 horas após a confirmação do incidente, conforme exigência da LGPD. 4. Notificação à ANPD — incidentes com risco relevante serão reportados à Autoridade Nacional de Proteção de Dados nos prazos legais. 5. Correção e melhoria — aplicação de correções e revisão dos controles para prevenção de recorrência. Para reportar uma vulnerabilidade ou incidente de segurança: atendimento@clubedrop.com.br com o assunto "Segurança — [descrição breve]".
• A equipe do Clube Drop é orientada sobre práticas seguras de manuseio de dados e acesso a sistemas. • O acesso a dados de produção é registrado e auditável. • Colaboradores com acesso a dados confidenciais assinam compromisso de confidencialidade. • Esta política é revisada ao menos uma vez por ano ou sempre que houver mudança relevante na infraestrutura ou legislação aplicável.
O Clube Drop opera em conformidade com: • Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018) • Marco Civil da Internet (Lei nº 12.965/2014) • Políticas de segurança e privacidade da Nuvemshop para parceiros • Requisitos de segurança do Mercado Pago para integradores Dúvidas sobre esta política: atendimento@clubedrop.com.br
© 2026 Clube Drop · atendimento@clubedrop.com.br