Confiança e Segurança

Respostas honestas, não boilerplate.

Esta página existe para ajudar o seu time de compliance a tomar uma decisão informada sobre trabalhar com a Swepay, o que fazemos bem, o que estamos construindo, e o que ainda não temos. Atualizamos conforme a nossa postura evolui.

Última atualização: 22 de maio de 2026

Práticas de segurança

O que fazemos, em termos concretos.

Segurança na Swepay é implementada em código e infraestrutura, não em apresentação. A lista abaixo é verificável, cada item é algo que você ou o seu time de segurança consegue validar em revisão técnica.

Residência de dados: sa-east-1

Todos os serviços de produção da Swepay rodam em AWS sa-east-1 (São Paulo). Os seus dados não saem do Brasil por padrão, e não há configuração hoje para transferi-los para outro lugar. Quando um auditor pergunta 'onde estão os meus dados?', a resposta é uma única região em São Paulo.

Criptografia em repouso e em trânsito

TLS 1.2+ exigido em toda superfície de API. Armazenamento em banco de dados usa chaves de criptografia gerenciadas. Object storage (onde vivem os downloads presigned de certificados) usa server-side encryption com um serviço gerenciado de chaves. Nenhum dado sensível persiste em disco em plaintext.

Chave raiz da CA em custódia gerenciada

A chave raiz da CA do seu tenant é gerada dentro de um armazenamento criptográfico gerenciado e usada via operações criptográficas gerenciadas. O material da chave não é extraível por operadores da Swepay em operação normal. Acesso exige aprovação multi-pessoa registrada em uma trilha de auditoria de nuvem imutável.

Trilha de auditoria, imutável

Toda chamada de API administrativa é registrada com timestamp, ID do tenant, ação, fingerprint da requisição e resultado. Logs são retidos conforme o seu tier de assinatura (30 dias a 1 ano). Adulteração exigiria comprometimento do serviço gerenciado de retenção de logs, uma fronteira de segurança que não está no modelo de ameaças da Swepay.

Isolamento de tenant

Cada tenant tem uma Autoridade Certificadora privada dedicada, com chave raiz própria, escopo próprio de trilha de auditoria, e fronteira própria de acesso. Multi-tenancy é aplicada da API até a camada de armazenamento, não é implementada como filtro de coluna em banco compartilhado.

IAM com privilégio mínimo

Os operadores internos da Swepay atuam sob roles AWS IAM com privilégio mínimo. Procedimentos de break-glass existem para acesso emergencial e são também audit-logged. Trabalho rotineiro de engenharia não exige acesso a dados de tenant.

Gestão de vulnerabilidades

Dependências e infraestrutura são escaneadas automaticamente por ferramentas padrão de varredura de dependências e vulnerabilidades. Vulnerabilidades críticas são endereçadas dentro de SLAs definidos. Não temos ainda um programa público de bug bounty; disclosure responsável vai para [email protected].

Postura de compliance

Com o que cumprimos, o que facilitamos, o que não alegamos.

Regulação financeira brasileira tem padrões sobrepostos. Abaixo está exatamente como a Swepay se posiciona em cada um, sem prometer demais.

LGPD (Lei Geral de Proteção de Dados)

A Swepay é operadora de dados sob a LGPD quando processa dados de tenant. Base legal documentada para cada atividade de tratamento. APIs de direitos do titular disponíveis onde se aplicam. Retenção padrão alinhada com o princípio da necessidade, configurável por contexto regulatório. Template de DPA disponível mediante solicitação.

Normas Bacen de cibersegurança

A Swepay opera como fornecedora de instituições financeiras reguladas. As nossas escolhas de infraestrutura, residência em sa-east-1, criptografia, audit logging, isolamento de tenant, são desenhadas para serem compatíveis com requisitos de risco de fornecedor que entidades reguladas aplicam aos seus suppliers. Não alegamos cumprir normas Bacen diretamente (não somos entidade regulada); fornecemos a infraestrutura que ajuda a sua fintech a cumprir as obrigações dela.

Open Finance, Pix, SPB

A Swepay não emite certificados para Open Finance Brasil, DICT do Pix, SPB ou outras infraestruturas reguladas brasileiras. O CA Manager emite certificados de CA privada para mTLS B2B em integrações privadas. Se o seu cenário exige esses certificados regulados, obtenha-os de provedores brasileiros estabelecidos como Soluti, Serpro, Certisign ou Valid Certificadora.

Open Finance Brasil

O Native Guard está em validação técnica e ainda não é certificado sob FAPI 1.0 Advanced. O CA Manager não está em escopo para integração com Open Finance Brasil. Atualmente não atendemos casos de uso de Open Finance Brasil.

Regulação de pagamentos (Pix, SPB)

A Swepay não é um payment provider. Não processamos transações, não nos conectamos ao DICT do Pix, não nos conectamos ao SPB, não nos conectamos ao STR. Os nossos produtos rodam abaixo da infraestrutura de pagamentos como serviços de apoio, não como parte dela.

Certificações

Onde estamos hoje.

Avaliação honesta primeiro. Roadmap depois. Sem datas de compromisso que não podemos cumprir.

O que a Swepay tem hoje

Nenhuma certificação formal de terceiro. A Swepay é uma empresa pre-seed bootstrapped que priorizou produto, arquitetura de segurança e validação com cliente em vez de auditorias de certificação.

O que está no roadmap

SOC 2 Type I é a primeira certificação formal mais provável. O timing depende de demanda de cliente e disponibilidade de recursos, vamos publicar uma data alvo apenas quando tivermos visibilidade crível da janela de auditoria. ISO 27001 está mais distante. Não anunciamos certificações antes de atingi-las.

O que oferecemos enquanto isso

Nossa arquitetura de segurança é construída em primitivos gerenciados pela AWS que são parte de atestações de compliance amplas (AWS SOC 2, ISO 27001, PCI DSS, LGPD). Isso não transfere essas certificações para a Swepay, mas significa que a fundação sobre a qual construímos é auditada rigorosamente. Para clientes regulados, estamos abertos a participar de processos de avaliação de risco de fornecedor, incluindo questionários de segurança, revisões de arquitetura e pen-test das nossas superfícies públicas.

Se certificação é requisito obrigatório

Alguns compradores regulados têm políticas que exigem que seus fornecedores tenham certificações específicas. Se essa for a sua situação, seja transparente conosco cedo. Podemos ter uma conversa honesta sobre se o timing da sua necessidade se encaixa no nosso roadmap, ou se você seria melhor atendido por um fornecedor mais avançado no ciclo de auditoria.

DPA

Data Processing Agreement

Sob a LGPD, processar dados pessoais em nome de um controlador exige acordo escrito entre operador e controlador. A Swepay mantém um template padrão de DPA que negociamos com clientes como parte da assinatura do contrato.

O nosso DPA padrão cobre: finalidades de tratamento escopadas por produto Swepay; medidas técnicas e organizacionais de segurança; lista de suboperadores (atualmente AWS e serviços gerenciados pela AWS); notificação de incidente nos prazos aplicáveis da LGPD; procedimentos de facilitação de direitos do titular; retenção e exclusão de dados no encerramento; e direitos de auditoria.

Para receber uma cópia do nosso DPA padrão para revisão pelo seu time jurídico, escreva para [email protected] com o nome da sua empresa e contato. Respondemos em até dois dias úteis.

Os termos padrão são desenhados para funcionar para a maioria dos clientes regulados brasileiros sem modificação. Customização é possível para contratos enterprise via AWS Marketplace Private Offers ou contratos diretos.

[email protected]

Status

Status de serviço e notificações de incidente.

Monitoramento de status de produção e uma página de status pública estão no nosso roadmap de curto prazo.

Hoje

O status operacional é monitorado internamente. Ainda não publicamos um dashboard de status em tempo real. Para notificações de incidente, inscreva-se na nossa lista de incidentes em [email protected], enviamos notificações quando incidentes afetam endpoints de produção (ca.swepay.com.br ou ca-cdn.swepay.com.br).

No roadmap

Uma página de status pública (status.swepay.co) com métricas de uptime em tempo real, janelas de manutenção planejadas, e relatórios históricos de incidente. Timing segue a demanda dos clientes e a maturidade operacional.

Reportar uma indisponibilidade

Se você acha que está enfrentando um problema de serviço com a infraestrutura Swepay, escreva para [email protected] com: o seu tenantId, timestamp de quando o problema começou, endpoint afetado, e (se disponível) IDs de correlação de request dos logs do seu cliente.

Pesquisa de segurança

Política de divulgação responsável.

Damos boas-vindas a pesquisa de segurança na infraestrutura pública da Swepay. A política abaixo explica como reportar findings e o que esperar de nós.

Em escopo

  • ca.swepay.com.br (API administrativa)
  • ca-cdn.swepay.com.br (CDN da infraestrutura PKI)
  • swepay.co e swepay.com.br (sites institucionais)
  • Fluxos de autenticação e autorização nos endpoints acima

Fora de escopo

  • Engenharia social contra funcionários ou clientes da Swepay
  • Ataques físicos contra infraestrutura ou escritórios da Swepay
  • Ataques de negação de serviço (volumétricos ou não)
  • Findings derivados de scanners automáticos sem prova de conceito de exploração
  • Serviços de terceiros que usamos (reporte ao fornecedor respectivo)

Como reportar

Escreva para [email protected] com: descrição da vulnerabilidade, endpoint ou componente afetado, passos para reproduzir, e (se possível) remediação sugerida. Use texto puro ou e-mail criptografado com PGP, nossa chave PGP está disponível mediante solicitação.

O que esperar da gente

  • Reconhecimento em até 3 dias úteis
  • Atualização de triagem em até 10 dias úteis
  • Coordenação no timeline de divulgação (preferimos 90 dias da reportagem à divulgação pública para vulnerabilidades confirmadas)

Recompensas

Atualmente não operamos um programa pago de bug bounty. Somos um time pequeno e bounties não cabem no nosso orçamento atual. Reconhecemos contribuições publicamente (com o consentimento do pesquisador) na nossa lista de agradecimentos de segurança. Se você está fazendo isso pelo dinheiro, este não é o programa certo para você. Se você está fazendo porque se importa com a segurança da infraestrutura financeira brasileira, te damos boas-vindas.

Contatos

Como chegar ao time certo.