Legal — 03
Segurança
Última atualização: 1º de julho de 2026
Confiança se conquista com detalhes, não com selos. Aqui está exatamente como protegemos o serviço — e como nos avisar quando erramos.
A versão curta
Mínimos dados, nenhuma senha para roubar, criptografia moderna, e um codebase aberto que qualquer um pode auditar. Segurança pela simplicidade.
Autenticação
Não há senhas na Zerosoft. As contas entram com Google OAuth 2.0, e as sessões usam cookies assinados, httpOnly e SameSite. Roubar um banco de dados com nossos hashes de senha é impossível, porque ele não existe.
API keys
O acesso programático usa API keys pessoais (prefixo zs_). As chaves são geradas com uma fonte aleatória criptograficamente segura, armazenadas apenas como hashes, exibidas uma única vez, e revogáveis instantaneamente pelo dashboard.
O rate limiting — 100 requisições por minuto por chave — contém tanto o abuso quanto os acidentes.
Senhas de links
Os links curtos protegidos por senha fazem hash das senhas com scrypt e salts por link. Nunca as armazenamos em texto puro e não podemos recuperá-las — se você perder uma, simplesmente define uma nova.
Transporte e criptografia
Todo o tráfego roda sobre HTTPS com TLS moderno. HSTS está habilitado, requisições inseguras são redirecionadas, e os dados em repouso são criptografados pelo provedor de infraestrutura.
Minimização de dados
Nossas métricas não usam cookies nem fingerprinting por design: referrer, país e dispositivo são extraídos dos headers da requisição, e o IP é descartado após a geolocalização. A melhor forma de proteger dados é nunca tê-los.
Open source como auditoria
Cada linha dos produtos é pública. Você não precisa confiar nesta página — pode ler o código, rodá-lo você mesmo, e verificar as afirmações. Relatos de pessoas que fizeram exatamente isso são o nosso tipo favorito de email.
Infraestrutura
A nuvem hospedada roda em provedores com certificações tipo SOC 2, em ambientes isolados com acesso de menor privilégio. Deploys são automatizados, reproduzíveis e registrados. Backups são criptografados e testados.
Reportar uma vulnerabilidade
Encontrou algo? Escreva para security@zerosoft.ai. Se puder, cifre com a nossa chave PGP — fingerprint 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 (chave completa publicada em zerosoft.ai/pgp.txt; em rotação durante o lançamento, e o endereço sempre funciona).
Confirmamos os relatórios em até 48 horas e buscamos triá-los em 5 dias úteis.
Divulgação responsável
Dê-nos uma janela razoável para corrigir antes de publicar; não acesse, modifique nem apague dados de outras pessoas; não degrade o serviço durante os testes.
Em troca: não tomaremos ações legais contra pesquisa de boa-fé, daremos crédito a você (se quiser) quando a correção sair, e agradeceremos como quem realmente quer dizer isso.