Segurança

Última atualização: 1º de julho de 2026

Confiança se conquista com detalhes, não com selos. Aqui está exatamente como protegemos o serviço — e como nos avisar quando erramos.

A versão curta

Mínimos dados, nenhuma senha para roubar, criptografia moderna, e um codebase aberto que qualquer um pode auditar. Segurança pela simplicidade.

Autenticação

Não há senhas na Zerosoft. As contas entram com Google OAuth 2.0, e as sessões usam cookies assinados, httpOnly e SameSite. Roubar um banco de dados com nossos hashes de senha é impossível, porque ele não existe.

API keys

O acesso programático usa API keys pessoais (prefixo zs_). As chaves são geradas com uma fonte aleatória criptograficamente segura, armazenadas apenas como hashes, exibidas uma única vez, e revogáveis instantaneamente pelo dashboard.

O rate limiting — 100 requisições por minuto por chave — contém tanto o abuso quanto os acidentes.

Senhas de links

Os links curtos protegidos por senha fazem hash das senhas com scrypt e salts por link. Nunca as armazenamos em texto puro e não podemos recuperá-las — se você perder uma, simplesmente define uma nova.

Transporte e criptografia

Todo o tráfego roda sobre HTTPS com TLS moderno. HSTS está habilitado, requisições inseguras são redirecionadas, e os dados em repouso são criptografados pelo provedor de infraestrutura.

Minimização de dados

Nossas métricas não usam cookies nem fingerprinting por design: referrer, país e dispositivo são extraídos dos headers da requisição, e o IP é descartado após a geolocalização. A melhor forma de proteger dados é nunca tê-los.

Open source como auditoria

Cada linha dos produtos é pública. Você não precisa confiar nesta página — pode ler o código, rodá-lo você mesmo, e verificar as afirmações. Relatos de pessoas que fizeram exatamente isso são o nosso tipo favorito de email.

Infraestrutura

A nuvem hospedada roda em provedores com certificações tipo SOC 2, em ambientes isolados com acesso de menor privilégio. Deploys são automatizados, reproduzíveis e registrados. Backups são criptografados e testados.

Reportar uma vulnerabilidade

Encontrou algo? Escreva para security@zerosoft.ai. Se puder, cifre com a nossa chave PGP — fingerprint 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 (chave completa publicada em zerosoft.ai/pgp.txt; em rotação durante o lançamento, e o endereço sempre funciona).

Confirmamos os relatórios em até 48 horas e buscamos triá-los em 5 dias úteis.

Divulgação responsável

Dê-nos uma janela razoável para corrigir antes de publicar; não acesse, modifique nem apague dados de outras pessoas; não degrade o serviço durante os testes.

Em troca: não tomaremos ações legais contra pesquisa de boa-fé, daremos crédito a você (se quiser) quando a correção sair, e agradeceremos como quem realmente quer dizer isso.