Política de Segurança - SynNova Portfolio
🛡️ Medidas de Segurança Implementadas
Este site implementa as seguintes medidas de segurança através de headers HTTP:
1. Proteção contra ClickJacking
X-Frame-Options: DENY - Previne que o site seja carregado em iframesContent-Security-Policy: frame-ancestors 'none' - Política moderna de CSP
2. Prevenção de Content Type Sniffing
X-Content-Type-Options: nosniff - Força o navegador a respeitar o Content-Type
3. Strict Transport Security (HSTS)
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload- Força conexões HTTPS por 1 ano
- Inclui subdomínios
- Habilitado para preload do navegador
4. Content Security Policy (CSP)
Content-Security-Policy:
default-src 'self';
script-src 'self' 'unsafe-inline';
style-src 'self' 'unsafe-inline';
img-src 'self' data: https:;
media-src 'self';
connect-src 'self' https://wa.me https://api.whatsapp.com https://web.whatsapp.com;
frame-src 'none';
frame-ancestors 'none';
object-src 'none';
base-uri 'self';
form-action 'self' https://wa.me;
upgrade-insecure-requests
5. Proteção XSS
X-XSS-Protection: 1; mode=block - Ativa proteção XSS do navegador
6. Permissions Policy
Permissions-Policy: accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()- Desativa APIs desnecessárias
7. Cross-Origin Policies
Cross-Origin-Opener-Policy: same-originX-Permitted-Cross-Domain-Policies: none
8. Referrer Policy
Referrer-Policy: strict-origin-when-cross-origin
🔒 Recursos de Segurança
Validações Client-Side
- Validação de CPF/CNPJ com algoritmos brasileiros
- Sanitização de inputs para prevenir XSS
- Validação de email
- Formatação segura de dados
Conexões Seguras
- HTTPS forçado em todos os acessos
- Redirecionamento automático HTTP → HTTPS
- Certificado SSL/TLS válido
Links Externos
- Todos os links externos usam
rel="noopener noreferrer"
- Apenas links para serviços confiáveis (WhatsApp, redes sociais)
- Validação de URLs antes de redirecionamento
🚨 Relatório de Vulnerabilidades
Como Reportar
Se você encontrar uma vulnerabilidade de segurança, entre em contato através de:
- Email: comercial@synnova.com.br
- WhatsApp: (41) 99623-0399
- Canonical: https://portfolio.synnova.com.br/.well-known/security.txt
Processo de Resposta
- Confirmação de recebimento em até 24 horas
- Investigação e verificação da vulnerabilidade
- Desenvolvimento de correção
- Implementação da correção
- Notificação do reporter
📋 Testes de Segurança
Ferramentas Utilizadas
- URLVoid: Verificação de reputação e blacklists
- VirusTotal: Análise de malware
- Sucuri SiteCheck: Verificação de segurança web
- Security Headers: Análise de headers HTTP
Resultados dos Testes
- ✅ Sem malware detectado
- ✅ Sem blacklisting
- ✅ Headers de segurança implementados
- ✅ CSP configurado corretamente
- ✅ HTTPS forçado
🔄 Monitoramento Contínuo
Verificações Regulares
- Testes de segurança semanais
- Monitoramento de blacklists
- Verificação de certificados SSL
- Análise de logs de segurança
Atualizações
- Revisão mensal da política de segurança
- Atualização de headers conforme novas ameaças
- Implementação de novas medidas de proteção
SynNova Software e Soluções LTDA
- CNPJ: 52.532.432/0001-47
- Endereço: Curitiba - PR, Brasil
- Email: comercial@synnova.com.br
- WhatsApp: (41) 99623-0399
- Website: https://portfolio.synnova.com.br
Padrões Seguidos
- OWASP Top 10: Proteção contra vulnerabilidades mais comuns
- Mozilla Security Guidelines: Headers de segurança
- W3C Security Guidelines: Padrões web seguros
- LGPD: Proteção de dados pessoais (Brasil)
Arquivos de Configuração
security.txt: Política de segurança RFC 9116.htaccess: Configurações de servidor Apache_headers: Configurações para hospedagem modernaSECURITY.md: Esta documentação
Última atualização: 16 de julho de 2025
Versão: 1.0
Responsável: Equipe de Desenvolvimento SynNova