Segurança
Modelo de segurança, isolamento multi-tenant e boas práticas no AdFlow.
Modelo de segurança do AdFlow e o que protegemos — e o que não protegemos.
Transporte
Todo tráfego usa HTTPS com TLS 1.3. Conexões HTTP são redirecionadas automaticamente para HTTPS. Sem exceções.
Autenticação
JWT com rotação automática a cada 24h. Tokens de longa duração não existem na API. Para automações, use tokens de serviço gerados em Configurações → Integrações → Tokens de API — esses tokens têm escopo limitado e podem ser revogados individualmente.
Senhas armazenadas com bcrypt (custo 12). Nunca armazenamos senhas em texto claro ou com hash reversível.
Webhooks
Cada payload inclui o header X-AdFlow-Signature: HMAC-SHA256 do body usando o segredo do endpoint. Valide a assinatura no seu servidor antes de processar qualquer payload.
Audit log imutável
Toda ação na plataforma é registrada em append-only. Nenhuma entrada pode ser editada ou deletada — nem por admins, nem via API. Isso inclui ações do próprio sistema (jobs, rotações automáticas).
O que armazenamos
| Dado | Armazenado |
|---|---|
| Campanhas, configurações | Sim — banco de dados PostgreSQL |
| Perfis de navegador (referências) | Sim — id, nome, status |
| Proxies (credenciais) | Sim — criptografadas em repouso |
| Cookies de browser | Não — ficam no AdsPower, fora do AdFlow |
| Criativos e imagens | Não — gerenciados diretamente no Meta |
Cookies de browser nunca passam pelo AdFlow. O AdFlow comunica com o AdsPower via API local — não acessa, armazena nem transmite cookies de sessão.
Relatório de vulnerabilidade
Encontrou um problema de segurança? Email: [email protected]
Não abra issue pública. Respondemos em até 48h úteis e coordenamos disclosure responsável.