Segurança e proteção de dados

Esta página resume, em linguagem prática, os controles de segurança que o RuleForge aplica por padrão. O objetivo é dar a você e ao seu time de segurança clareza sobre o que já está cuidado no produto.

Acesso e identidade

• Senhas seguras: o cadastro exige senhas fortes e os resets de senha usam links temporários.
• SSO corporativo: você pode entrar com o provedor de identidade da sua empresa (Google, Okta, Entra ID, etc.) via SSO com OIDC. Nesse modo, as políticas da empresa (MFA, condições de acesso) se aplicam também ao RuleForge.
• Provisionamento automático: usuários podem ser criados e desativados automaticamente a partir do seu provedor via SCIM. Quando alguém sai da empresa, o acesso ao RuleForge é cortado junto.
• Sessão com contexto claro: o RuleForge sempre mostra em qual organização você está operando, evitando confusão entre ambientes.

Papéis e permissões

• Acesso é controlado por papéis (administrador, revisor, engenheiro, leitura, etc.).
• O papel vale para a organização e pode ser ajustado por projeto.
• Veja Papéis e permissões para detalhes.

Proteção de credenciais

• Senhas e credenciais de integrações (Git, pipelines, provedores de identidade) são armazenadas criptografadas.
• Valores sensíveis (como segredos de chaves de API e tokens de integração) aparecem uma única vez na tela, no momento da criação. Depois disso, o RuleForge nunca mostra o valor completo.
• Quando você atualiza uma configuração, deixar um campo de segredo em branco preserva o valor atual — isso evita expor segredos por acidente.

Webhooks

• Só aceitam URLs públicas (http ou https).
• URLs locais ou de redes privadas são bloqueadas por padrão.
• Você pode configurar um segredo para que o sistema que recebe a notificação confirme que ela veio do RuleForge.
• Cada envio fica registrado, com resultado e tentativas de reenvio em caso de falha.

Registros e auditoria

• Ações sensíveis (publicação, revogação de chaves, mudanças em integrações) ficam registradas na auditoria.
• Você pode consultar o histórico por pessoa, entidade ou período.

Limites e proteção contra abuso

• Fluxos sensíveis (login, registro, resets de senha) têm limite de tentativas para prevenir ataques automatizados.
• A organização recebe aviso quando o uso da API da sua organização se aproxima do limite do plano.

Recomendações para o seu time

• Use SSO corporativo sempre que possível.
• Ative SCIM para automatizar desligamentos.
• Conceda o papel mínimo necessário a cada membro.
• Rotacione chaves de API periodicamente.
• Revise a auditoria como parte da sua rotina de segurança.
• Use segredos nos webhooks que disparam para sistemas sensíveis.

O que esta página não cobre

Este é um resumo dos controles aplicados dentro do produto. Ele não substitui as políticas internas da sua empresa (hardening de dispositivos, gestão de segredos no ambiente corporativo, revisão jurídica de compliance). Se você precisa de um resumo técnico mais profundo, fale com o time de sucesso do cliente.

Links relacionados

• Papéis e permissões
• SSO com OIDC
• SCIM
• Chaves de API
• Webhooks