Transparência sobre o que temos —
e o que ainda não temos.
Skillment é empresa bootstrapped pré-PMF. Fornecedor que vende SOC 2 nesse estágio sem audit independente está mentindo. Aqui está a verdade sobre a nossa postura — atualizada a cada release.
Transport & crypto
- •HTTPS obrigatório (TLS 1.3, Cloudflare edge)
- •Refresh tokens de calendar (OAuth): AES-256-GCM + HKDF
- •Webhooks: HMAC-SHA256 com replay protection
- •Sessões JWT signed via jose, 30 dias expiry
Auth & identidade
- •5 SSO providers: LinkedIn, Google, Microsoft Entra, GitHub, Apple
- •Passkey/WebAuthn pra MFA opcional
- •Magic link via Resend (rate limited)
- •SCIM 2.0 tokens com escopo limitado, rotacionáveis
Operação
- •Backup diário do DB (CF D1 export → R2, 35d retention)
- •/api/health/deep com check de dependências
- •Status page pública (status.skillment.app)
- •Audit trail imutável (events) com 7 anos retention
LGPD
- •GET /api/user/me/export — export portável JSON (Art. 18)
- •DELETE /api/user/me — soft-delete + anonimização (Art. 17)
- •Cookie consent granular (essencial / analytics / marketing)
- •DPA template disponível em Growth e Enterprise
O que ainda não temos (e quando ativa)
Cada item abaixo tem um trigger claro. Investimos quando o trigger acontece, não antes.
SOC 2 Type II auditTrigger: Primeiro contrato enterprise exigir contractualmente OU capital pra cobrir custo (≈$30-60k)
ISO 27001Trigger: Cliente EU formal
HIPAA BAA + auditTrigger: Prospect saúde com intent formal
Pen test independenteTrigger: Q3 2026 ou primeiro contrato enterprise
Bug bounty programTrigger: Após PMF + revenue cobre payouts
Customer-managed keys (BYOK)Trigger: Cliente financeiro / regulado
Responsible disclosure
Achou vulnerabilidade? Mande pra security@skillment.app. Compromissos:
- • Acusar recebimento em até 48h úteis
- • Validar e priorizar em até 7 dias
- • Resolver crítico em até 30 dias
- • Disclosure público após fix, creditando você
Documentação técnica
Pra detalhes de implementação, controles aplicáveis ao seu cenário e DPA template: