Modelo de Segurança

O ZapConsent foi construído com múltiplas camadas de proteção para garantir que os dados dos seus clientes e da sua agência estejam sempre seguros.

Proteção da Sua Conta

Sua sessão de login é protegida por mecanismos que evitam que terceiros assumam o controle da sua conta, mesmo em redes públicas ou compartilhadas:

  • O cookie de sessão não é acessível por scripts da página — impede roubo de sessão via ataques XSS
  • A sessão usa IDs regenerados a cada login, prevenindo Session Fixation
  • Cookies configurados com política SameSite, dificultando requisições cross-site

Proteção dos Formulários

Todos os formulários do sistema — cadastro, criação de termos e aceite de consentimento — são protegidos contra ataques automatizados:

  • Tokens anti-CSRF: cada envio de formulário requer um token único gerado para sua sessão. Requisições externas forjadas são bloqueadas automaticamente.
  • Google reCAPTCHA: o formulário de aceite exigido dos seus clientes inclui verificação humana, impedindo registros de consentimento automatizados.

Proteção dos Dados no Servidor

Senhas nunca são visíveis

A sua senha é armazenada como um hash criptográfico Bcrypt — um formato irreversível. Mesmo que alguém tivesse acesso ao banco de dados, não seria possível descobrir sua senha original.

Proteção contra SQL Injection

Todas as consultas ao banco de dados utilizam prepared statements com parâmetros vinculados. Nenhum dado enviado pelo usuário é inserido diretamente em consultas, eliminando o risco de manipulação de banco de dados.

Comunicação criptografada

Toda a comunicação entre o servidor do ZapConsent e o gateway de pagamento Asaas é feita via HTTPS com verificação de certificado SSL. Os dados financeiros nunca trafegam em texto puro.

Protocolos de Segurança Web

O servidor envia automaticamente cabeçalhos HTTP de segurança que instruem os navegadores a se protegerem:

Proteção O que evita
Bloqueio de iframe Clickjacking — impede que páginas externas carreguem o ZapConsent dentro de um iframe malicioso
Controle de tipo MIME Impede que navegadores interpretem arquivos de forma diferente do seu tipo original
Filtro XSS do navegador Bloqueia tentativas de injeção de scripts maliciosos detectadas pelo browser
Política de referência Controla quais informações de URL são compartilhadas ao navegar para outros sites
Todas as medidas de segurança descritas aqui são aplicadas automaticamente — não há nenhuma configuração adicional necessária da sua parte.
← AnteriorGamificação