Como medimos
Segurança de software não é opinião. Existem padrões públicos que o mundo inteiro usa pra avaliar se um sistema está bem ou mal protegido. A DashM foi avaliada contra os quatro principais:
- OWASP ASVS — padrão da OWASP (fundação americana sem fins lucrativos que define segurança web no mundo todo). 14 capítulos, 280+ verificações. Nosso alvo: nível L2, que é o exigido pra sistemas que tocam dados financeiros multi-empresa.
- NIST 800-63B — guideline do NIST (instituto federal americano de padrões), define como deve funcionar autenticação segura. Atendemos nível AAL2, que é o exigido pra dados sensíveis.
- OWASP Top 10 — lista das 10 classes de vulnerabilidade mais comuns na web. Atualizada a cada 3-4 anos pela OWASP.
- LGPD Art. 37 — Lei Geral de Proteção de Dados brasileira, artigo que exige registro completo das operações de tratamento.
A nota: 8.0/10
Três análises técnicas independentes avaliaram o mesmo sistema contra os padrões acima. As três chegaram ao mesmo número: 8.0/10. Convergência é o melhor sinal de honestidade técnica — significa que não é viés de um único avaliador.
- Acima de 90% do mercado SaaS brasileiro em sua categoria.
- Equivalente a sistemas como Conta Azul, Omie, Movidesk em proteção.
- Atende todos os requisitos LGPD para dados pessoais e operacionais.
- Aprovado para uso em operações com dados financeiros multi-empresa.
O que essa nota significa, em prático:
O patamar de 9.5/10 é onde estão bancos digitais como o Nubank e instituições reguladas pelo BACEN — e é exatamente para onde caminhamos. Estamos muito próximos disso: a cada sprint, novas camadas defensivas entram em produção. 8.0/10 já é o nível de empresas consolidadas e referência no mercado brasileiro — e a evolução continua.
O que defendemos, em linguagem humana
Cada item abaixo é uma camada concreta de proteção rodando no produto agora — não promessa de roadmap.
1. Cada um vê só o que precisa ver
Acesso por papel e por escopo. Quem opera vê só a sua parte; quem coordena vê o time; quem administra vê tudo. Cada requisição é validada no servidor — alterar o link na barra do navegador, abrir o DevTools ou forçar parâmetros não dá acesso a dado fora do seu perímetro autorizado.
2. Cada ação fica registrada
Login, exportação de planilha, criação de usuário, alteração — tudo é gravado com data, hora e responsável. Se acontecer algo, em 30 segundos sabemos quem, quando e o quê. Atende LGPD Art. 37 com trilha que pode ser auditada por DPO ou ANPD.
3. Senha vazada não é problema
Administradores precisam de um segundo código que só existe no celular do dono (Google Authenticator, Authy, 1Password). Mesmo se a senha vazar em outro site, ninguém entra sem o celular físico.
4. Bot que tenta invadir é bloqueado
Tentativas seguidas de senha errada disparam bloqueio temporário — curto pra usuário legítimo que esqueceu a senha, longo pra bot insistente. Padrões de ataque detectados (varredura, força bruta, exploração de URL) resultam em bloqueio automático do IP por 30 dias.
5. Tráfego protegido em duas camadas
Toda requisição passa primeiro pelo Cloudflare — a mesma infraestrutura que protege Instagram, Facebook, Discord, Mercado Pago, bancos digitais e boa parte da Fortune 500 contra ataques em larga escala. Depois passa por um firewall próprio de segunda camada, calibrado para padrões de ataque específicos da nossa stack. Se a primeira falhar, a segunda pega.
6. Dados criptografados, infra no Brasil
Conexão sempre HTTPS com criptografia moderna. Dados em repouso protegidos pelas mesmas tecnologias que o Google usa. Servidores em região brasileira — menor latência, conformidade fiscal e jurisdição local.
Três análises independentes
A nota 8.0 não veio de uma autoavaliação. Três análises técnicas independentes, com metodologias diferentes, examinaram o mesmo dashboard:
- Análise 1 — varredura de código contra ASVS 4.0.3 e OWASP Top 10, com mapeamento de camadas defensivas por arquivo.
- Análise 2 — revisão arquitetural contra NIST 800-63B e CIS Critical Controls v8, com foco em autenticação e governança.
- Análise 3 — auditoria adversarial (mindset de atacante real), testando 9 cenários de ataque que combinam funcionalidades legítimas pra criar exploits não-óbvios.
As três cravaram 8.0/10. A convergência é o que dá peso à nota — não foi a opinião de um único avaliador.
Para CTOs, DPOs e equipes técnicas
Se você é responsável técnico ou de proteção de dados na empresa que está avaliando a DashM, podemos abrir conversa com nosso time e apresentar as evidências documentadas:
- Relatório de pentest com scorecard por capítulo ASVS.
- Cobertura detalhada do OWASP Top 10 (status de cada classe de vulnerabilidade).
- Mapa das camadas defensivas em produção.
- Roadmap de evolução documentado.
- Trilha de evidências em commits Git e testes reproduzíveis.
Material apresentado em call técnica e compartilhado sob acordo de confidencialidade (NDA) quando aplicável.
Quer conversar sobre segurança em profundidade?
Marcamos uma call técnica com nosso time. Apresentamos as evidências documentadas — pentest, scorecard ASVS, mapa de defesas — e respondemos qualquer pergunta sobre ASVS, OWASP, LGPD ou modelo de ameaça. Sob NDA quando aplicável.
Última revisão: 11 de maio de 2026. Auditorias de segurança são revisadas continuamente — entre em contato pra confirmar a versão mais recente.