Pular para o conteúdo principal

Segurança e privacidade

Esta página descreve as práticas de segurança da plataforma que são relevantes para o usuário. Para os termos legais completos, consulte a Política de Privacidade e os Termos de Uso.

Sessões e autenticação

  • A autenticação usa session tokens em cookies HTTP-only (Better Auth), inacessíveis a scripts no navegador;
  • O login via Google usa OAuth 2.0 — a plataforma nunca tem acesso à sua senha do Google;
  • A alteração de senha encerra as demais sessões ativas da conta;
  • Sessões de serviços distintos do SleepComet são independentes entre si.

Tokens de redes sociais

As integrações com TikTok, Instagram e YouTube utilizam OAuth:

  • Os tokens de acesso e de renovação são armazenados no servidor e nunca são expostos pela API — a listagem de integrações retorna apenas o provedor e o nome da conta;
  • A autorização pode ser revogada a qualquer momento removendo a integração na plataforma ou nas configurações da própria rede social;
  • A plataforma solicita apenas os escopos necessários para publicar conteúdo em seu nome.

Regras de plano aplicadas no servidor

Limites e regras comerciais são validados no servidor, no momento de criar o job de processamento — nunca apenas na interface:

  • O saldo de créditos é verificado antes de qualquer processamento;
  • Todo campo numérico ou de enumeração de um template é ajustado para a faixa válida (consulte Limites e cotas);
  • No plano Free, a marca d'água é reimposta no servidor mesmo que a requisição tente desativá-la.

Isso garante que requisições manipuladas diretamente na API não contornem as regras do plano.

Mídia e armazenamento

  • Vídeos e clipes são armazenados no Cloudflare R2;
  • O acesso à mídia é feito por URLs de CDN próprias da plataforma;
  • Ao excluir um projeto, seus clipes deixam de ser listados na plataforma.

Pagamentos

  • Todo o fluxo de pagamento é processado pelo Stripe (checkout e portal do cliente);
  • A plataforma não armazena dados de cartão — apenas o status da assinatura e o plano ativo;
  • Faturas, alteração de método de pagamento e cancelamento são gerenciados no portal do cliente Stripe.

Boas práticas para a sua conta

  • Use uma senha única e um gerenciador de senhas;
  • Prefira o login com Google se sua conta Google tiver verificação em duas etapas;
  • Revise periodicamente as integrações conectadas em /integrations;
  • Ao publicar via API, trate o session token como um segredo: não o exponha em código-fonte nem em logs.

Próximos passos: Autenticação · API de autenticação