> ## Documentation Index
> Fetch the complete documentation index at: https://docs.apollospace.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Segurança

> Como o Apollo Space protege seus dados, credenciais e operações — modelo de auth, encryption, audit e resposta a incidente.

Um agente rascunha um follow-up, resolve sua credencial do WhatsApp e
dispara a mensagem — em poucos segundos, enquanto você está numa reunião.
Pra isso ser seguro, cada passo precisa estar autenticado, restrito à sua
organização e gravado num log que você consegue reler depois.

É disso que esta página trata: o modelo de auth, a criptografia, o audit
e a resposta a incidente que ficam embaixo de cada ação que um agente
executa em seu nome. O trabalho sai da sua mesa; a prestação de contas
fica registrada.

## Princípios

A segurança no Apollo Space segue três princípios:

<CardGroup cols={3}>
  <Card title="Defense in depth" icon="layer-group">
    Múltiplas camadas independentes — se uma falha, a próxima ainda
    protege. Não confiamos em **uma** linha de defesa.
  </Card>

  <Card title="Auditável" icon="clipboard-list">
    Todo acesso, toda mudança, toda chamada paga gera log
    append-only. Você (e auditores externos) podem reconstruir
    qualquer evento.
  </Card>

  <Card title="Sem dados sensíveis em trânsito" icon="lock">
    Credenciais de terceiros, dados de pagamento, secrets — vivem
    criptografados. Apollo Space só descriptografa no momento e contexto
    necessários.
  </Card>
</CardGroup>

## Autenticação e autorização

<AccordionGroup>
  <Accordion title="Autenticação — como o login funciona" icon="key">
    * **Cognito** (AWS) como identity provider — federado com Google,
      e-mail/senha + MFA opcional
    * Tokens com **expiração curta** (id-token expira em horas; refresh
      expira em dias)
    * Sessões em uma org isoladas de sessões em outras (o login não
      arrasta contexto cruzado)
    * **MFA fortemente recomendado** pra todos os Owners + Admins
  </Accordion>

  <Accordion title="Autorização — papéis e permissões" icon="shield-halved">
    * **Papéis hierárquicos** por org: Owner > Admin > Member > Viewer
    * Cada operação verifica o papel necessário antes de executar
    * **Admins não conseguem mexer em Owners** — protege contra
      escalação de privilégio por conta comprometida
    * Reads e writes que tocam dados de cliente passam por uma camada
      de isolamento adicional no banco (veja [Multi-tenant](/pt/trust/multi-tenant))
  </Accordion>
</AccordionGroup>

## Criptografia

| Onde                                                       | Como                                                                                     |
| ---------------------------------------------------------- | ---------------------------------------------------------------------------------------- |
| **Dados em trânsito**                                      | TLS 1.3 em toda comunicação cliente ↔ servidor                                           |
| **Dados em descanso (banco)**                              | Criptografia gerenciada pelo provedor (AWS RDS com KMS)                                  |
| **Credenciais de terceiros** (Tavily, Twilio, Apify, etc.) | Criptografadas com chave dedicada — Apollo Space descriptografa apenas no momento de uso |
| **Secrets de infra**                                       | AWS Secrets Manager + IAM com least-privilege                                            |

Nenhum operador da Apollo Space consegue ler credenciais de terceiros em
texto plano por inspeção manual do banco — a chave de criptografia
fica em sistema separado, com acesso auditado.

## Credenciais de terceiros

<AccordionGroup>
  <Accordion title="Como ficam armazenadas" icon="database">
    Quando você conecta integrações ([WhatsApp/Twilio](/pt/integrations/whatsapp),
    [Tavily](/pt/integrations/tavily), [Apify](/pt/integrations/apify),
    [Composio](/pt/integrations/composio)), as credenciais (API keys, OAuth
    tokens) ficam:

    * **Criptografadas no banco** com chave dedicada
    * **Isoladas por organização** — outro cliente Apollo Space não vê suas
      credenciais
    * **Acessadas apenas pelo backend** quando uma chamada legítima
      pede — nunca enviadas pro frontend
    * **Audit-logged** — toda vez que uma credencial é resolvida pra uso,
      fica registro: qual usuário/agente, qual operação, quando
  </Accordion>

  <Accordion title="Rotação e revogação" icon="rotate">
    Você pode **rotacionar** credenciais a qualquer momento (basta colar
    a nova) ou **revogar** desligando a integração (deleta a credencial
    do banco).

    Recomendamos rotacionar chaves de integrações críticas (Twilio, Apify)
    periodicamente ou sempre que um membro com acesso deixa o time.
  </Accordion>
</AccordionGroup>

## Audit log

Toda ação relevante gera entrada no audit log da org:

* Login / logout de usuários
* Mudanças de papel (quem promoveu quem)
* Conexão / desconexão de integrações
* Disparo de mensagens outbound (e-mail, WhatsApp)
* Modificação de leads
* Operações administrativas no faturamento

O log é **append-only** — nada é deletado nem editado retroativamente.
Owners + Admins podem inspecionar a qualquer momento; auditores
externos podem ser provisionados como Viewer + permissão de leitura
do audit.

## Resposta a incidente

Se você suspeitar de qualquer incidente de segurança (acesso não
autorizado, credencial vazada, comportamento estranho):

<Card title="Reporte imediato" icon="bell">
  E-mail: **[security@apollospace.ai](mailto:security@apollospace.ai)**. Resposta em até 24h úteis.
</Card>

Pra incidentes que afetam **dados de cliente**, o Apollo Space segue:

1. Identificação + contenção (primeiras horas)
2. Notificação aos afetados conforme prazo regulatório aplicável
3. Postmortem público após resolução (sem dados sensíveis)

## Compliance

<AccordionGroup>
  <Accordion title="LGPD e privacidade" icon="scale-balanced">
    O Apollo Space desenha suas práticas de privacidade e segurança com a LGPD
    como referência principal — modelo de proteção de dados documentado,
    processos para exercício de direitos do titular, e canal de contato
    com o encarregado pelos dados.
  </Accordion>

  <Accordion title="Certificações (roadmap)" icon="certificate">
    Outras certificações (SOC 2, ISO 27001) estão em consideração no
    roadmap conforme a maturidade do produto + demanda de clientes
    enterprise.

    Documentação adicional sobre privacidade e segurança disponível sob
    NDA — entre em contato com **[security@apollospace.ai](mailto:security@apollospace.ai)** se sua
    compliance precisa de evidência formal.
  </Accordion>
</AccordionGroup>

## Próximos passos

<CardGroup cols={2}>
  <Card title="Multi-tenant" icon="shield-check" href="/pt/trust/multi-tenant">
    Detalhe do isolamento entre organizações.
  </Card>

  <Card title="Organizações" icon="building" href="/pt/concepts/organizations">
    O modelo de papéis em detalhe.
  </Card>
</CardGroup>