Segurança e compliance
Última atualização:
Operadores movimentam dinheiro real na nuke.ai. A postura de segurança da plataforma é a garantia estrutural por trás de cada marca que rodamos. Esta página documenta os controles que operamos, os padrões que assumimos, e o processo de resposta quando algo dá errado. É deliberadamente específica — páginas de segurança vagas são a assinatura de fornecedores que não têm de fato os controles.
1. Residência de dados
Dados de operadores e jogadores são armazenados na região correspondente à jurisdição de licenciamento da marca. Marcas da UE armazenam em regiões UE; marcas LATAM armazenam em regiões América-do-Norte-Sul; marcas da Ásia em regiões AP. Replicação entre regiões é opt-in, nunca default. Backups de banco herdam as mesmas restrições regionais; cópias de disaster-recovery fora da região são criptografadas em repouso com chaves KMS atreladas à região.
2. Criptografia
TLS 1.3 com HSTS preload em todo endpoint público; apenas cifras com perfect-forward-secrecy. Dados em repouso usam AES-256-GCM com envelope encryption — chaves em nível de coluna para instrumentos de pagamento e registros de KYC, chaves em nível de schema para o resto. A rotação de chaves é automática em ciclo de 90 dias; rotação manual é uma chamada de API à frente em resposta a incidente.
3. Controles de acesso
Acesso ao console do operador exige SSO (Google Workspace, Okta, Azure AD) e impõe MFA. Permissões são RBAC com sete papéis padrão mais um construtor de papéis customizados. Toda ação administrativa — mudança de config, pagamento, override de KYC, deploy de marca — gera entrada imutável no log de auditoria, visível tanto para os admins do operador quanto para o suporte nuke.ai em triagem de incidente.
4. Testes de intrusão
Pen-tests externos são realizados trimestralmente por firma independente acreditada CREST. Achados são acompanhados no registro CVE interno; achados críticos/altos são corrigidos dentro do SLA (24h / 7d respectivamente) e refletidos no changelog de engenharia. Um sumário com dados redigidos é disponibilizado a times de segurança de operadores sob NDA.
5. Certificações
ISO 27001 no roadmap. O escopo PCI-DSS está confinado ao gateway de tokenização — dados de cartão dos operadores não trafegam pelos servidores de aplicação da nuke.ai. Relatórios de compliance disponíveis sob NDA.
6. Disclosure de vulnerabilidades
Pesquisadores de segurança podem reportar achados para [email protected]. Comprometemo-nos a confirmar o recebimento em até 72 horas, fornecer status de remediação em até 14 dias, e creditar pesquisadores externos no changelog público de segurança (opt-in).
7. Resposta a incidentes
Incidentes Sev-1 (paradas que afetam operadores, exposição de dados) são confirmados em 15 minutos, com atualizações na página de status a cada 30 minutos até a resolução, e post-mortem público em até 5 dias úteis. Incidentes Sev-2 (degradação de performance, falha parcial de feature) são confirmados em 1 hora. O status atual da plataforma é publicado em a faixa de status da homepage e atualizado a cada release.
8. Contato
Consultas de segurança: [email protected].
Compliance geral: [email protected].