1. Arquitetura de Segurança
O Backeep foi projetado com o modelo "Security by Design" — segurança em cada camada, não como camada adicional. Nossa arquitetura é baseada em três princípios:
Defesa em profundidade
Múltiplas camadas independentes de proteção. A falha de uma não compromete o todo.
Mínimo privilégio
Cada componente, funcionário e processo acessa apenas o estritamente necessário.
Assumir violação
Projetado como se o sistema pudesse ser comprometido a qualquer momento — zero trust.
2. Criptografia
2.1 Modelo Zero-Knowledge
Esta é a diferença mais importante do Backeep: seus dados são criptografados no seu próprio dispositivo, antes de sair para a internet. Isso significa que:
- Seus arquivos chegam aos nossos servidores já cifrados — jamais em texto claro
- A chave de criptografia é derivada da sua senha, usando PBKDF2 com alto fator de custo
- A chave nunca é transmitida ou armazenada nos servidores do Backeep
- Funcionários do Backeep não conseguem ler o conteúdo dos seus backups, nem sob ordem judicial
2.2 Algoritmos e padrões
| Camada | Algoritmo | Observação |
|---|---|---|
| Dados em repouso | AES-256-GCM | Criptografia autenticada, integridade garantida |
| Dados em trânsito | TLS 1.3 | Forward Secrecy obrigatório |
| Derivação de chave | PBKDF2-SHA256 | Mínimo 100.000 iterações |
| Hashing de senhas | Argon2id | Winner da Password Hashing Competition |
| Tokens JWT | RS256 (RSA 2048) | Assinatura assimétrica |
| Geração de aleatórios | CSPRNG (OS nativo) | IVs e salts únicos por operação |
3. Controle de Acesso
3.1 Autenticação dos usuários
- Senhas: mínimo de 8 caracteres, verificação contra listas de senhas vazadas (HaveIBeenPwned)
- MFA/2FA: suporte a TOTP (Google Authenticator, Authy etc.) — obrigatório em planos Business/Enterprise
- Sessões: tokens JWT com expiração curta (access token: 15 min, refresh token: 7 dias)
- Bloqueio: conta bloqueada temporariamente após múltiplas tentativas falhas
- Notificações: alerta por e-mail em logins de novos dispositivos ou localizações
3.2 Controle interno (RBAC)
- Acesso dos funcionários do Backeep segue o princípio do mínimo privilégio
- Nenhum funcionário tem acesso ao conteúdo de backups (zero-knowledge)
- Acesso a sistemas de produção requer MFA e é registrado em logs imutáveis
- Revisão de acessos realizada trimestralmente
3.3 Controle multi-tenant
Cada organização no Backeep opera em um espaço logicamente isolado. Dados de clientes diferentes são criptografados com chaves distintas e armazenados de forma que qualquer acesso cruzado seja tecnicamente impossível.
4. Infraestrutura
- Provedores de nuvem: infraestrutura em datacenters certificados (ISO 27001, SOC 2) com redundância multi-região
- Disponibilidade: arquitetura de alta disponibilidade com failover automático
- Segmentação de rede: redes internas segmentadas por função, com firewalls e grupos de segurança rigorosos
- Backups da infraestrutura: snapshots automatizados com retenção de 30 dias (meta-backup)
- Hardening: imagens de servidores com configuração mínima (surface attack reduzida)
- Atualizações de segurança: patches aplicados em até 24h para vulnerabilidades críticas
5. Monitoramento e SOC
- Monitoramento 24/7: alertas automáticos para comportamentos anômalos
- SIEM: correlação de eventos de segurança em tempo real
- Logs de auditoria: registro imutável de todas as operações administrativas, com retenção mínima de 1 ano
- Detecção de intrusão (IDS/IPS): bloqueio automático de tráfego malicioso
- Análise de comportamento: detecção de padrões suspeitos de acesso ou exfiltração
6. Ransomware Shield™
O Ransomware Shield™ é nossa camada de proteção ativa contra ataques de ransomware, composta por:
Detecção comportamental no agente
O agente monitora padrões de modificação em massa de arquivos — característica principal do ransomware — e aciona alertas antes que a criptografia maliciosa se espalhe.
Varredura de extensões suspeitas
Lista atualizada de mais de 500 extensões associadas a ransomware conhecidos. Qualquer criação em massa dessas extensões dispara alerta imediato.
Snapshots imutáveis contínuos
Backup Forever™ cria versões imutáveis dos seus arquivos. Mesmo que o sistema seja comprometido, as versões anteriores permanecem intactas e recuperáveis.
Restauração isolada
Restauração para um ambiente limpo e isolado, evitando reinfecção. Recuperação seletiva por data/hora — volte para o momento imediatamente anterior ao ataque.
7. Testes de Segurança
- Testes de penetração: pentests externos realizados periodicamente por empresas especializadas independentes
- Análise estática de código (SAST): integrada ao pipeline de CI/CD, bloqueando código com vulnerabilidades conhecidas
- Análise de dependências: monitoramento contínuo de CVEs em bibliotecas de terceiros
- Revisão de código: pull requests revisados por pelo menos 2 engenheiros antes do merge em produção
- Testes de regressão de segurança: suite automatizada de testes para cenários de segurança críticos
8. Resposta a Incidentes
Nosso processo de resposta a incidentes (IR) segue o framework NIST SP 800-61:
| Fase | Ação | Prazo |
|---|---|---|
| Detecção | Identificação e triagem do incidente | Imediato (automatizado) |
| Contenção | Isolamento dos sistemas afetados | < 1 hora (crítico) |
| Análise | Determinação do escopo e impacto | < 4 horas |
| Notificação | Comunicação aos clientes afetados | < 72 horas |
| Remediação | Correção e reforço de controles | Conforme severidade |
| Pós-incidente | Relatório e melhorias | < 30 dias |
Incidentes com potencial impacto sobre dados pessoais são reportados à ANPD conforme exigido pela LGPD.
9. Modelo de Responsabilidade Compartilhada
A segurança é responsabilidade de ambas as partes. Veja a divisão:
| Área | Backeep | Cliente |
|---|---|---|
| Infraestrutura de nuvem | Responsável | — |
| Criptografia dos dados | Responsável | — |
| Disponibilidade do serviço | Responsável | — |
| Segurança dos dispositivos | — | Responsável |
| Credenciais de acesso | — | Responsável |
| Configuração do escopo de backup | — | Responsável |
| Ativação do MFA | Disponibiliza | Responsável pela ativação |
| Atualização do agente | Fornece atualizações | Responsável pela aplicação |
| Conformidade LGPD da empresa | Suporte como operador | Responsável como controlador |
10. Reportar Vulnerabilidades (Responsible Disclosure)
O Backeep valoriza a contribuição da comunidade de segurança. Se você encontrar uma vulnerabilidade em nossos sistemas, pedimos que a reporte de forma responsável:
Como reportar: Use nosso formulário de contato com o assunto "Vulnerabilidade de Segurança"
O que incluir: Descrição clara da vulnerabilidade, passos para reprodução, impacto potencial e prova de conceito (se houver)
Prazo de resposta: Confirmação em até 48 horas, atualização de status em até 7 dias úteis
O que não fazer: Não acesse dados de outros usuários, não interrompa serviços, não publique antes de 90 dias ou coordenação com nossa equipe
Pesquisadores que reportarem vulnerabilidades válidas receberão crédito público (se desejado) e, dependendo da criticidade, podem ser contemplados com recompensas.
Nossa equipe de segurança está disponível para esclarecer qualquer questão técnica.
Falar com segurança WhatsApp urgente