Esta página existe para profissionais que precisam validar decisões técnicas, segurança, conformidade ou arquitetura. Se você só quer saber se a plataforma é segura — sim, é. Os detalhes seguem abaixo.
Cada cliente (tenant) é isolado no banco de dados PostgreSQL via Row-Level Security (RLS) com política default-deny.
Mesmo que houvesse uma falha em código de aplicação, o banco recusa qualquer acesso cruzado entre tenants. A camada de aplicação conecta como um role não-superusuário (NOBYPASSRLS), garantindo que RLS é a barreira real.
Pooler de conexão configurado em modo session para preservar o GUC app.tenant_id por transação — testado sob carga (k6).
MFA obrigatório para todos os papéis administrativos (SUPER_ADMIN, AGENCY_ADMIN, MANAGER, FINANCE).
Implementação nativa do RFC 6238 — compatível com Google Authenticator, 1Password, Authy, Bitwarden.
Sessões em banco (não somente em cookies), com revogação imediata. Senha com bcrypt cost ≥ 10. Mensagens de erro genéricas (não revela existência de e-mail).
CPF, CNPJ, dados bancários e segredos MFA armazenados com AES-256-GCM em coluna.
Chave principal versionada — suporta rotação programada com re-encryption em background.
Crypto-shredding: ao atender pedido de erasure LGPD, removemos a versão de chave que dá acesso ao registro, preservando integridade da auditoria sem comprometer privacidade.
Toda operação sensível registrada em audit_log + ledger_entry com hash-chain por seq (cada linha referencia o hash da anterior).
UPDATE/DELETE revogados no banco — fisicamente impossíveis. Estornos financeiros viram entrada compensatória.
Compliance contábil + forense: validável a qualquer momento via verifyLedgerChain.
Registro de consentimento (base legal, versão, timestamp, IP) por usuário e propósito.
Pipeline DSAR completo: portabilidade (export), retificação, esquecimento via pseudonimização.
Retenção configurável por categoria de dado. Suporte a Data Protection Impact Assessment (DPIA).
Nunca armazenamos cartão. Tokenização integral no gateway (Asaas para operação, Stripe para assinaturas SaaS).
Sua imobiliária fica fora do escopo PCI DSS sem perder capacidade de cobrança automatizada.
Next.js 16 (App Router) + React 19 + TypeScript strict; Prisma 7 + PostgreSQL 18; Auth.js v5; Tailwind v4 com tokens semânticos em 3 camadas.
Multi-tenant white-label: TenantTheme em CSS vars permite trocar marca sem rebuild. Domínio próprio com CNAME e HTTPS automático (Let's Encrypt).
Mídia: presigned upload direto para Cloudflare R2 ($0 egress), variantes responsivas via imgproxy (AVIF/WebP), vídeo HLS via Cloudflare Stream, viewers 360°/3D self-host (Pannellum, Three.js).
Busca: Postgres FTS por idioma + PostGIS para geo. Abstração SearchProvider permite migrar para Typesense em escala.
Jobs assíncronos via Inngest (step functions com retry/backoff): mídia, financeiro recorrente, ingestão de portais, alertas de save-search.
Cache & rate-limit: Upstash Redis com fallback em memória. Webhooks idempotentes por providerEventId.
WCAG 2.2 AA como gate de CI: contraste (algoritmos WCAG + APCA), foco visível, navegação por teclado, labels/aria, tamanho mínimo de alvo de toque.
Three-tier design system (primitivos → semânticos → componentes). Density configurável: comfortable (desktop), compact (densa), tv (kiosk com alvos ≥ 48 px).
Suporte a dark mode e prefers-reduced-motion. Multi-idioma via next-intl (pt-BR, en, es) com FTS por idioma.
TDD com Postgres real (nada de mocks). Testes de isolamento cross-tenant rodam a cada deploy — bloqueiam merge se vazam.
Tests automatizados de RLS: default-deny sem GUC, transação sem GUC falha fechada, bypass de SUPER_ADMIN não vaza contexto.
Migrations versionadas. Disaster Recovery: backup automático (PostgreSQL PITR no caminho Pro com Neon), runbook de restore testado trimestralmente.
Observabilidade: Sentry para erros, logs estruturados com tenant_id/user_id, uptime monitoring.