Skillment
EntrarExperimentar grátis

Postura de segurança

Skillment é uma empresa bootstrapped pré-PMF. Não temos SOC 2 Type II nem ISO 27001 ainda — qualquer fornecedor que diz que tem nesse estágio sem audit independente está mentindo. Esta página descreve com transparência o que existe hoje, o que está em roadmap e como pretendemos chegar lá.

O que está em produção

Transport

  • HTTPS obrigatório (HSTS preload-pending)
  • TLS 1.3 (Cloudflare edge)
  • Certificate transparency monitoring (via Cloudflare)

Auth

  • JWT cookie session, signed com jose (HS256), 30 dias expiry
  • 5 SSO providers: LinkedIn, Google, Microsoft Entra, GitHub, Apple
  • Passkey/WebAuthn pra MFA opcional
  • Magic link via Resend (rate limited)
  • SCIM 2.0 tokens com escopo limitado

Encryption at-rest

  • Refresh tokens de calendar (Google/Outlook): AES-256-GCM + HKDF, chave mestra via Wrangler secret
  • Senhas: nunca armazenamos (delegated to SSO/magic link). Sem password column.
  • DB at-rest: Cloudflare D1 default encryption (managed por CF)

Webhooks

  • HMAC-SHA256 signature (padrão Stripe)
  • Timestamp pra replay protection (5min window)
  • Secret per-tenant, rotacionável sem downtime

LGPD

  • GET /api/user/me/export — export completo do usuário em JSON
  • DELETE /api/user/me — soft-delete + anonimização PII, preserva audit trail (Art. 17 + obrigação legal de auditoria)
  • Cookie consent granular
  • Policy + DPA template disponíveis

Audit trail

  • Tabela events grava cada XP, login, conclusão, redemption, ban, role change
  • Imutável (append-only), exportável via CSV
  • Retention: 7 anos (defensável legalmente em audit)

O que não temos ainda (transparência total)

Certificações

  • SOC 2 Type II: em roadmap. Ativa quando primeiro contrato exigir contractualmente ou capital chegar pra cobrir audit ($30-60k).
  • ISO 27001: mesmo critério. Trigger: cliente EU formal.
  • HIPAA BAA: só quando prospect de saúde com intent formal aparecer.

Testes de segurança externos

  • Pen test independente: ainda não. Roadmap: Q3 2026 ou quando primeiro contrato enterprise exigir.
  • Bug bounty: não temos program formal. Responsible disclosure aceito via security@skillment.app.

Compliance específica

  • Audit log com middleware automatizado: existe pra eventos user-facing, falta cobertura nos endpoints admin.
  • RBAC granular: hoje temos roles binárias (learner, admin, super_admin). RBAC field-level está no roadmap quando primeiro tenant tiver mais de 1 admin com escopos diferentes.
  • BYOK (Bring Your Own Key): para encryption at-rest customer-managed. Backlog enterprise.

Responsible disclosure

Achou vulnerabilidade? Mande pra security@skillment.app. Vamos:

  • Acusar recebimento em até 48h úteis
  • Validar e priorizar em até 7 dias
  • Resolver crítico em até 30 dias
  • Disclosure público após fix (creditando você se quiser)

Não temos bug bounty $$ ainda, mas garantimos credit + recommendation + thanks no SECURITY.md público.

Pra prospects e legal teams

DPA template + descrição mais detalhada dos sub-processors disponíveis sob NDA. Mande e-mail pra contato@skillment.app descrevendo seu cenário (volume, regulação aplicável, processo de vendor risk assessment) e a gente responde com o pacote certo.