Como protegemos seus dados

Todos os dados são criptografados em duas camadas:

• Em trânsito: TLS 1.2 ou superior em todas as comunicações entre o app, nossos servidores e parceiros. Conexões HTTP em texto plano não são aceitas.
• Em repouso: AES-256 no banco de dados (incluindo a representação matemática do seu rosto) e no armazenamento de mídias.

O acesso ao Yaz é feito por e-mail e senha. As senhas são armazenadas em formato seguro com hash, nunca em texto plano.

Sessões usam tokens com renovação rotativa. O token de acesso expira após 1 hora; o de renovação é invalidado no logout.

Dados faciais são tratados como o ativo mais sensível do app. Três camadas de proteção:

• Não armazenamos a imagem original. A selfie é processada em memória e descartada imediatamente após a extração da representação matemática.
• A representação não é uma foto. É uma sequência de números que descreve apenas características matemáticas do seu rosto. Não é possível reconstruir o rosto a partir dela — a operação inversa é matematicamente inviável.
• Acesso restrito. Apenas o próprio usuário consegue ler ou apagar o seu cadastro facial; nenhum outro usuário tem acesso. Nossa equipe acessa apenas via auditoria e logs. O processamento de comparação é feito pelo PhotoShared através de API segura, sem retenção de dados pelo parceiro.

Trabalhamos apenas com parceiros certificados em padrões reconhecidos:

• Provedor de banco de dados e autenticação — SOC 2 Type II, ISO 27001.
• Provedor de armazenamento de mídia — SOC 2, ISO 27001, ISO 27018, PCI-DSS.
• Apple Push Notification Service — segurança nativa do ecossistema Apple.
• PhotoShared — empresa parceira responsável pelo processamento e comparação das representações matemáticas dos rostos. Atende aos requisitos de segurança aplicáveis ao tratamento de dados biométricos e não armazena os dados que recebe.

Em caso de incidente de segurança que possa afetar dados pessoais dos usuários, comunicaremos os afetados e a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas, conforme exigido pela LGPD (art. 48). A comunicação detalhará a natureza dos dados envolvidos, as medidas adotadas e as recomendações ao usuário.

Se você descobrir uma vulnerabilidade de segurança, envie um e-mail para contato@yazexperience.com.br com o assunto [security]. Pedimos que não divulgue publicamente antes de termos a chance de corrigir (responsible disclosure). Reconheceremos sua contribuição publicamente, se você desejar.