token

Nomos
Segurança da Informação

Como protegemos seus dados e operações.

Segurança não é diferencial, é base. Esta página descreve as práticas técnicas e operacionais que mantemos para proteger sua plataforma, seus dados e a confiança da sua empresa.

Última atualização: 04/05/2026  ·  Versão: 1.0

Nesta página

1. Compromisso com segurança 2. Medidas técnicas 3. Controle de acesso 4. Política de cookies 5. Notificação de incidentes 6. Reportar vulnerabilidades

1 Compromisso com segurança

A Nomos trata governança e compliance — campos onde dado errado, vazado ou perdido custa caro. Nossa arquitetura, processos e ciclo de desenvolvimento são desenhados desde o início para reduzir superfície de ataque, isolar dados entre clientes e gerar trilha de auditoria sobre cada ação relevante na plataforma.

2 Medidas técnicas implementadas

Criptografia em trânsito

HTTPS em todo o tráfego com certificados Let's Encrypt e HSTS habilitado.

Senhas com bcrypt

Senhas armazenadas como hash bcrypt, nunca em texto plano, com força mínima validada no cadastro.

Isolamento multi-tenant

Dados de cada empresa são logicamente isolados. Toda consulta filtra automaticamente pelo tenant autenticado.

Backup automatizado

Dump diário criptografado do banco com retenção de 14 dias. Snapshot semanal complementar do sistema.

Proteção contra brute force

Rate limiting na autenticação e fail2ban no SSH bloqueiam IPs após múltiplas tentativas inválidas.

Headers de segurança

CSP, X-Frame-Options, X-Content-Type-Options e Referrer-Policy aplicados em todas as respostas.

JWT em cookie HttpOnly

Tokens de sessão em cookies HttpOnly + SameSite=Lax + Secure, inacessíveis via JavaScript.

Atualizações de segurança

Sistema operacional com patches automáticos (unattended-upgrades) e dependências revisadas a cada release.

3 Controle de acesso

A plataforma adota um modelo de papéis (RBAC) com 4 níveis hierárquicos:

  • SUPERADMIN — administra a plataforma e os tenants. Acesso restrito à equipe Nomos.
  • ADMIN — administrador da empresa cliente. Gerencia usuários e estrutura organizacional do próprio tenant.
  • CONTROLLER — responsável por matrizes, escopos, planejamentos e execução de testes.
  • USER — leitura geral e conclusão de ações sob sua responsabilidade.

Cada acesso é registrado com data, hora, IP e ação executada para fins de auditoria.

4 Política de cookies

Cookies são pequenos arquivos armazenados no seu navegador. Usamos somente cookies essenciais ao funcionamento do site e da plataforma:

Cookie Finalidade Duração
jwt Sessão autenticada na plataforma. HttpOnly, SameSite=Lax, Secure. 8 horas
nomos_cookie_consent_v1 Registra que você visualizou o aviso de cookies (localStorage). Persistente

Não usamos cookies de marketing, rastreamento de terceiros ou redes sociais. Se isso mudar no futuro, atualizaremos esta página e o banner de consentimento solicitará nova autorização explícita.

Você pode bloquear ou apagar cookies a qualquer momento nas configurações do seu navegador. A remoção dos cookies essenciais pode impedir o login na plataforma.

5 Notificação de incidentes

Em caso de incidente de segurança que afete dados pessoais sob nossa responsabilidade, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável (referência: até 72 horas após a constatação, conforme orientação ANPD), com descrição do ocorrido, riscos potenciais e medidas adotadas.

6 Como reportar vulnerabilidades

Encontrou algo suspeito? Agradecemos a divulgação responsável. Entre em contato exclusivamente por:

E-mail dedicado: contato@labnomos.com.br

Inclua passos para reproduzir, impacto estimado e contato para retorno. Comprometemo-nos a responder em até 5 dias úteis.

Pedimos que não divulgue publicamente a vulnerabilidade até que tenhamos um prazo razoável para mitigar e proteger nossos clientes.

Quer entender melhor nossa segurança?

Documentos técnicos detalhados estão disponíveis sob NDA para clientes e parceiros corporativos.

Falar com a Nomos