Segurança e Conformidade
DDash é uma camada de monitoramento somente leitura. Conecta via API e webhooks. Não inicia, não roteia, não grava nem modifica chamadas.
Infraestrutura
Provedor Cloud
AWS (US-West-2, Oregon)
Computação
AWS Lightsail, Docker Compose
Banco de Dados
TimescaleDB (PostgreSQL 16)
Mensageria
Redis 7.x pub/sub
Servidor Web
nginx com terminação TLS
Frontend
React + Vite, assets estáticos
Criptografia
Em Trânsito
TLS 1.2+ em todas as conexões. HTTPS obrigatório.
Em Repouso
Criptografia em nível de volume AWS para todo o armazenamento.
Arquitetura de Eventos Imutável
Isolamento de dois bancos de dados para integridade e não-repúdio.
Banco Operacional
Estado atual dos agentes, chamadas ativas, dados em tempo real. Leitura/escrita.
Arquivo de Eventos
Registro imutável somente adição. Permissões somente INSERT. Sem UPDATE/DELETE.
Nenhum serviço possui credenciais para ambos os bancos de dados. Isolamento imposto em nível de contêiner e credenciais.
Controles de Acesso
Autenticação
Microsoft Entra, Google, GitHub, Discord, credenciais locais. SAML no nível Enterprise.
Autorização
RBAC com quatro funções: admin, supervisor, operador, usuário. Princípio de menor privilégio.
Rede
Grupos de segurança AWS. Sem portas de banco de dados públicas. Contêineres Docker em rede privada.
Tratamento de Dados
Coletamos
- • Eventos de status dos agentes
- • Metadados de chamada (ID, hora, duração)
- • Métricas de fila
- • Identificadores de usuário (nome, email, ramal)
Não Coletamos
- • Áudio ou gravações de chamadas
- • Conteúdo de correio de voz
- • Conteúdo SMS/vídeo
- • CPF ou dados financeiros
Retenção padrão: 90 dias (configurável). Backups: snapshots de 7 dias. Notificação de violação: 72 horas.
Posição de Conformidade
| Framework | Status |
|---|---|
| LGPD/GDPR | SCCs, DPA (todos os níveis), assistência com direitos de titulares |
| CCPA | Sem venda/compartilhamento de informações pessoais. Exclusão em 30 dias. |
| HIPAA | Não processa PHI. BAA disponível nível Enterprise. |
| SOC 2 | No roadmap. Controles consistentes com TSC. |
| PCI DSS | Não aplicável — nenhum dado de cartão de pagamento processado. |
Documentos Legais
Perguntas de segurança ou relatórios de vulnerabilidades:
security@rprtechnologies.com