PolarPOLAR

Segurança

Política de segurança, reporte de vulnerabilidades e proteção de dados da Polar.

Segurança

A segurança é um pilar fundamental da plataforma Polar. Este documento descreve nossas políticas de segurança, procedimentos de reporte de vulnerabilidades, medidas de proteção de dados e nosso roteiro de conformidade.

Política de Segurança

A Polar adota uma abordagem de segurança em profundidade (defense-in-depth), com múltiplas camadas de proteção em toda a infraestrutura, API e modelos de IA.

Princípios

  • Segurança por design: Segurança integrada desde o início do desenvolvimento
  • Menor privilégio: Acesso mínimo necessário em todos os sistemas
  • Defesa em profundidade: Múltiplas camadas de proteção
  • Monitoramento contínuo: Detecção e resposta a ameaças em tempo real
  • Transparência: Comunicação clara sobre incidentes e vulnerabilidades

Reporte de Vulnerabilidades

Como reportar

Se você descobriu uma vulnerabilidade de segurança em nossos sistemas, por favor reporte de forma responsável:

Email: safety@polar.com.br

Inclua no reporte:

  1. Descrição detalhada da vulnerabilidade
  2. Passos para reprodução
  3. Impacto potencial estimado
  4. Sugestão de correção (se tiver)

Programa de Bug Bounty

A Polar mantém um programa de bug bounty para pesquisadores de segurança. Recompensas variam de acordo com a severidade:

SeveridadeRecompensa
CríticaR$ 5.000 — R$ 20.000
AltaR$ 2.000 — R$ 5.000
MédiaR$ 500 — R$ 2.000
BaixaR$ 100 — R$ 500

Prazos de resposta

  • Confirmação de recebimento: até 24 horas
  • Triagem inicial: até 48 horas
  • Correção de vulnerabilidades críticas: até 72 horas
  • Comunicação de resolução: até 7 dias úteis

Escopo

O programa de bug bounty cobre:

  • API da Polar (api.polarai.com.br)
  • Dashboard e portal web (polar-ai.com)
  • SDKs oficiais (polar-ai, @polar-ai/sdk)
  • Infraestrutura de serviços

Fora do escopo:

  • Engenharia social contra funcionários
  • Ataques de negação de serviço (DoS/DDoS)
  • Vulnerabilidades em serviços de terceiros
  • Testes destrutivos em produção

Criptografia de Dados

Em trânsito

  • TLS 1.3 obrigatório em todas as conexões com a API
  • HSTS (HTTP Strict Transport Security) habilitado
  • Certificate pinning disponível para SDKs
  • Cifras modernas e seguras (AES-256-GCM, ChaCha20-Poly1305)

Em repouso

  • Criptografia AES-256 para dados armazenados
  • Chaves de criptografia gerenciadas via HSM (Hardware Security Module)
  • Rotação automática de chaves a cada 90 dias
  • Backup criptografado com chaves separadas

Chaves de API

  • Prefixo pk- para identificação
  • Hash criptográfico unidirecional (nunca armazenamos a chave em texto plano)
  • Revogação instantânea via dashboard
  • Suporte a múltiplas chaves por conta
  • Expirações configuráveis

Segurança da API

Autenticação

# Autenticacao via Bearer token
curl https://api.polarai.com.br/v1/chat/completions \
  -H "Authorization: Bearer pk-sua-chave-aqui" \
  -H "Content-Type: application/json" \
  -d '{"model": "urso-mabe", "messages": [{"role": "user", "content": "Ola"}]}'

JWT (JSON Web Tokens)

  • Tokens JWT para autenticação no dashboard
  • Assinatura RS256 com chaves rotacionadas
  • Expiração curta (15 minutos para access tokens)
  • Refresh tokens com rotação automática

Rate Limiting

Limites de taxa para proteger contra abuso:

PlanoRequests/minTokens/min
Free10100K
Pro1001M
Enterprise1.00010M
CustomSob demandaSob demanda

Headers de rate limiting em cada resposta:

X-RateLimit-Limit: 100
X-RateLimit-Remaining: 95
X-RateLimit-Reset: 1711929600

Proteções adicionais

  • CORS: Restrição de origens permitidas
  • Input validation: Validação rigorosa de todos os inputs da API
  • Output sanitization: Sanitização de saídas para prevenir XSS
  • Request size limits: Limite de tamanho de requisição (10MB)
  • IP allowlisting: Disponível para contas Enterprise

Conformidade LGPD

Medidas implementadas

  • Encarregado de dados (DPO): Designado conforme Art. 41 da LGPD
  • Registro de atividades de tratamento: Documentado e atualizado
  • RIPD: Relatório de Impacto à Proteção de Dados realizado
  • Consentimento: Mecanismos claros de consentimento
  • Direitos dos titulares: Portal para exercício de direitos

Retenção de dados

Tipo de dadoRetençãoBase legal
Logs de API90 diasInteresse legítimo
Dados de contaDuração da contaExecução contratual
Dados de uso12 mesesInteresse legítimo
Dados pessoais (opt-out)Até exclusãoConsentimento

Roteiro SOC 2

A Polar está em processo de obtenção da certificação SOC 2 Type II:

FaseStatusPrevisão
Gap analysisConcluídoQ1 2026
Implementação de controlesEm andamentoQ2 2026
Auditoria Type IPlanejadoQ3 2026
Auditoria Type IIPlanejadoQ1 2027

Controles em implementação

  • Gerenciamento de acesso e identidade (IAM)
  • Monitoramento de segurança (SIEM)
  • Gerenciamento de vulnerabilidades
  • Continuidade de negócios e recuperação de desastres
  • Gestão de mudanças
  • Resposta a incidentes

Resposta a Incidentes

Classificação de severidade

NívelDescriçãoTempo de resposta
P0 — CríticoComprometimento de dados, indisponibilidade total15 minutos
P1 — AltoDegradação significativa de serviço1 hora
P2 — MédioImpacto parcial em funcionalidades4 horas
P3 — BaixoImpacto mínimo, sem dados comprometidos24 horas

Processo de resposta

  1. Detecção: Monitoramento automatizado + alertas
  2. Triagem: Classificação de severidade e escopo
  3. Contenção: Isolamento do problema
  4. Investigação: Análise de causa raiz
  5. Remediação: Correção e recuperação
  6. Comunicação: Notificação a afetados conforme LGPD
  7. Pós-incidente: Review e melhorias

Notificação

Em caso de incidentes que envolvam dados pessoais:

  • Notificação à ANPD (Autoridade Nacional de Proteção de Dados) em até 72 horas
  • Notificação aos titulares afetados em prazo razoável
  • Publicação de relatório pós-incidente

Infraestrutura

Localização de dados

  • Dados processados e armazenados em território brasileiro
  • Servidores em data centers no Brasil (São Paulo)
  • Sem transferência internacional de dados pessoais

Segurança física

  • Data centers com certificação Tier III+
  • Controle de acesso biométrico
  • Monitoramento 24/7
  • Redundância de energia e conectividade

Contato

Atualizações

Esta política de segurança é revisada trimestralmente. Última atualização: Março 2026.

IA Responsável

Princípios de IA responsável, mitigação de riscos e compromissos éticos da Polar.

On this page

SegurançaPolítica de SegurançaPrincípiosReporte de VulnerabilidadesComo reportarPrograma de Bug BountyPrazos de respostaEscopoCriptografia de DadosEm trânsitoEm repousoChaves de APISegurança da APIAutenticaçãoJWT (JSON Web Tokens)Rate LimitingProteções adicionaisConformidade LGPDMedidas implementadasRetenção de dadosRoteiro SOC 2Controles em implementaçãoResposta a IncidentesClassificação de severidadeProcesso de respostaNotificaçãoInfraestruturaLocalização de dadosSegurança físicaContatoAtualizações