CitaChat Logo
Começar arrow_forward

SEGURANÇA
CitaChat LLC

Última atualização: 12 de abril de 2026

Na CitaChat, entendemos que a segurança dos seus dados e a continuidade do seu negócio são prioridades. Esta Política de Segurança descreve os protocolos técnicos, administrativos e físicos que implementamos para proteger a integridade, confidencialidade e disponibilidade das informações processadas através da nossa plataforma de agentes de IA conversacional.

1. Infraestrutura e Segurança na Nuvem

Nossa arquitetura tecnológica é projetada sob princípios de segurança por design (Security by Design).

  • Hospedagem Segura: O CitaChat é hospedado no Railway (infraestrutura sobre AWS), provedor que cumpre as certificações SOC 2 Type II e ISO 27001.
  • Proteção de Rede: Utilizamos firewalls de aplicações web (WAF) e sistemas de detecção de anomalias para prevenir acessos não autorizados.
  • Separação de Ambientes: Os ambientes de desenvolvimento, teste e produção são estritamente segregados para evitar vazamentos acidentais de dados.
  • Alta disponibilidade: A arquitetura é projetada para manter disponibilidade contínua do serviço com monitoramento em tempo real.

2. Criptografia e Proteção de Dados

Implementamos medidas criptográficas robustas para proteger as informações tanto em trânsito quanto em repouso.

  • Dados em Trânsito: Todas as comunicações entre o navegador do Usuário, nossa API e os servidores do WhatsApp/Meta são criptografadas usando TLS 1.2 ou superior (HTTPS obrigatório).
  • Dados em Repouso: Os bancos de dados onde armazenamos informações de leads e configurações são criptografados com AES-256.
  • Credenciais Sensíveis: Os tokens de API do WhatsApp e credenciais de integração são armazenados criptografados e nunca expostos em texto simples, logs ou interfaces de usuário.
  • Tokens de acesso: É implementada rotação periódica de tokens de autenticação internos.

3. Segurança do Agente de IA e Base de Conhecimento

Como o CitaChat permite o carregamento de documentos e configurações para o Agente de IA, aplicamos controles específicos:

  • Isolamento de Dados por Cliente: As informações e configurações de cada cliente são processadas em contextos isolados. Os dados de um cliente nunca são acessíveis por outro cliente nem se misturam nos modelos de resposta.
  • Dados para P&D de IA própria: Os dados utilizados para o desenvolvimento de modelos próprios do CitaChat são anonimizados antes de qualquer processamento com essa finalidade. Os identificadores diretos são eliminados sistematicamente. (Ver Política de Privacidade §6.)
  • Validação de Arquivos: Todos os arquivos carregados na Plataforma passam por validação de formato e varredura de conteúdo malicioso.
  • Supervisão Humana: O sistema permite a intervenção humana imediata para corrigir ou parar o Agente se forem detectados comportamentos anômalos ou respostas inadequadas.

4. Controle de Acesso e Autenticação

O acesso aos dados é regulado sob o princípio do menor privilégio.

  • Autenticação de Usuários: São implementadas sessões gerenciadas por tokens seguros com expiração automática.
  • Acesso do Pessoal do CitaChat: Apenas o pessoal técnico autorizado tem acesso à infraestrutura de produção, com autenticação multi-fator (MFA) obrigatória.
  • Papéis e Permissões: A plataforma diferencia níveis de acesso para garantir que apenas administradores autorizados modifiquem configurações críticas do Agente.
  • Auditoria de Acessos: O CitaChat mantém logs de acesso ao sistema por parte do pessoal interno, disponíveis para revisão em caso de incidente.

5. Gestão de Incidentes e Backup

  • Cópias de Segurança (Backups): Realizamos cópias de segurança automáticas e periódicas do banco de dados e configurações.
  • Notificação de Violações: Em caso de uma violação de segurança que afete dados pessoais de usuários, o CitaChat notificará o Cliente afetado em um prazo não superior a 72 horas desde a detecção, conforme os padrões do GDPR e as políticas da Meta Platforms Inc.
  • Monitoramento Contínuo: Utilizamos ferramentas de observabilidade (incluindo Langfuse para monitoramento de IA) para detectar anomalias, comportamentos incomuns ou tentativas de acesso não autorizado em tempo real.
  • Plano de Resposta a Incidentes: O CitaChat conta com um procedimento interno documentado de resposta a incidentes de segurança, que inclui contenção, análise, notificação e melhoria pós-incidente.

6. Segurança na Integração com Meta / WhatsApp Business API

O CitaChat opera como provedor tecnológico verificado pela Meta Platforms Inc. para o uso da API do WhatsApp Business (Cloud API).

  • Conformidade com a Meta: Aderimos estritamente aos Termos de Serviço da Plataforma Meta, à Política Comercial do WhatsApp e aos requisitos de segurança para provedores BSP.
  • Integração Direta: O CitaChat integra a API do WhatsApp diretamente (sem intermediários BSP adicionais), eliminando pontos de falha adicionais e reduzindo a exposição de dados em trânsito.
  • Tokens de API do WhatsApp: Os tokens de acesso do cliente ao WhatsApp são armazenados criptografados. É adicionalmente responsabilidade do cliente manter a confidencialidade de suas credenciais do Meta Business.
  • Auditoria de Mensagens: O CitaChat mantém logs de interações do WhatsApp conforme os requisitos da Meta para provedores verificados.

7. Solicitações de Autoridades — Procedimento de Segurança

O CitaChat possui um protocolo interno para gerenciar solicitações de acesso a dados por parte de autoridades públicas:

  • Toda solicitação é revisada pela equipe de direção para validar sua legalidade e proporcionalidade antes de qualquer ação.
  • O CitaChat documentará internamente cada solicitação recebida, incluindo a base legal invocada, os dados eventualmente divulgados e o raciocínio aplicado.
  • No caso de solicitações consideradas ilegítimas, excessivas ou contrárias aos direitos dos titulares, o CitaChat reserva-se o direito de contestá-las judicialmente.
  • O CitaChat notificará o Usuário afetado na medida em que a lei aplicável o permitir.

8. Responsabilidades do Cliente

A segurança é uma responsabilidade compartilhada. O Usuário aceita:

  • Não compartilhar suas credenciais de acesso com terceiros.
  • Proteger os dispositivos a partir dos quais acessa o CitaChat.
  • Não carregar informações altamente sensíveis (dados médicos protegidos, informações bancárias ou financeiras reguladas) que não sejam necessárias para a função de atendimento comercial automatizado.
  • Manter atualizadas as configurações do Agente para refletir mudanças em seus produtos, serviços ou políticas de atendimento.
  • Notificar o CitaChat imediatamente diante de qualquer suspeita de uso não autorizado de sua conta.

9. Contato de Segurança

Para relatar vulnerabilidades, incidentes de segurança ou solicitações de auditoria:

E-mail: soporte@citachat.co
Telefone: +57 311 635 4428

O CitaChat valoriza a divulgação responsável de vulnerabilidades e responderá em um prazo não superior a 48 horas úteis.

CitaChat LLC — soporte@citachat.co — citachat.co