KeepGrid
Executar auditoria

Segurança

Atualizado em: 2026-05-18

KeepGrid pede que você conecte um bot ao seu Discord, então segurança é parte do produto. Esta página resume infraestrutura, dados, limites do bot, scans, incidentes e como reportar problemas.

Postura de segurança

Infraestrutura

  • Hospedagem: Vercel com TLS, HSTS e SSL automático.
  • Banco de dados: Neon PostgreSQL com criptografia em repouso e em trânsito.
  • Pagamentos: Stripe Checkout. KeepGrid não vê números de cartão.
  • Segredos: variáveis de ambiente criptografadas na Vercel; nunca no bundle do cliente.

Aplicação

  • Validação: schemas Zod nos endpoints sensíveis.
  • Sessões: cookies HttpOnly, Secure e SameSite.
  • OAuth Discord: state parameter validado no callback.
  • Limite de requisições: limites por IP em endpoints caros, scans e geração.
  • Webhooks Stripe: assinatura verificada e proteção contra duplicidade.

Bot Discord

  • Permissões mínimas: detalhadas em /pt/bot-permissions.
  • Sem Message Content intent: o bot não lê mensagens.
  • Sem Member intent: o bot não rastreia listas de membros.
  • Sem cargos Administrator: cargos criados pelo KeepGrid são labels sem permissão global no servidor.
  • Preflight antes de escrita: preview de escopo, limites, hierarquia de cargos, cobertura de rollback e avisos antes de mudar algo.
  • Sem escrita em background: instalação, reinstalação, rollback e correções exigem clique e confirmação.
  • Scans Pro somente leitura: scans semanais detectam drift, mas não alteram o servidor.

Dados

  • KeepGrid armazena somente dados necessários para entregar auditoria, instalação, rollback, Pro Scan e cobrança.
  • Message content não é lido, analisado, armazenado ou usado para treinar modelos.
  • Ticket SLA usa metadata de thread/canal, não corpo de mensagens.
  • Pedido de deleção: veja /pt/data-deletion.
  • Política completa: /pt/privacy.

Fix Buttons e rollback

Findings do Pro podem mostrar um botão de correção. O botão só executa depois de revisão e confirmação. Cada mudança entra no log de auditoria com estado antes/depois e pode ser revertida.

Incidentes e disclosure

Se encontrar uma vulnerabilidade, envie email para ops@keepgrid.net com passos de reprodução, impacto e endpoint afetado. Atualizações de status ficam em /status e mudanças públicas em /changelog.

Compliance

  • GDPR/CCPA: direitos de acesso, correção e deleção suportados.
  • Discord Developer Policy: sem scraping, sem message content, sem treinamento de AI com dados do Discord.
  • Stripe: cartões processados por Stripe Checkout.

Contato

Contato de segurança: ops@keepgrid.net. Para pilotos de agência, criador pago ou estúdio, veja /pt/business-transparency.