Início / Segurança
— Segurança da informação

Construída em fundações sérias.

Como protegemos a infraestrutura, os dados e as operações da Kunlatalk. Documentação técnica detalhada sobre nossos provedores, controles, políticas de retenção e resposta a incidentes.

Última atualização 27 de maio de 2026
Versão 1.0
Conformidade LGPD · Meta · WhatsApp
Contato contato@kunlatek.com

— Índice

  1. Princípios de segurança
  2. Infraestrutura e provedores
  3. API oficial Meta (WhatsApp Business)
  4. DeepSeek como motor de IA
  5. MongoDB como camada de dados
  6. Titularidade das contas pelo cliente
  7. Criptografia e proteção em trânsito e em repouso
  8. Controle de acesso e autenticação
  9. Retenção e exclusão de dados
  10. Monitoramento e auditoria
  11. Resposta a incidentes
  12. Comunicação de vulnerabilidades
  13. Contato do time de segurança

01 Princípios de segurança

Segurança não é uma camada que adicionamos no fim. É um critério arquitetural que orienta todas as decisões da Kunlatalk desde a primeira linha de código.

Operamos sobre quatro princípios:

  • Soberania do cliente. Dados, infraestrutura e credenciais ficam sob titularidade direta do cliente — não sob a nossa.
  • Provedores homologados. Usamos exclusivamente APIs oficiais (Meta, DeepSeek, MongoDB). Sem soluções não-homologadas, sem gambiarras, sem riscos de bloqueio.
  • Princípio do menor privilégio. Cada componente, integração e pessoa só acessa o estritamente necessário para sua função.
  • Defesa em profundidade. Múltiplas camadas independentes de proteção — para que a falha em uma não comprometa o conjunto.

02 Infraestrutura e provedores

A Kunlatalk opera sobre três fornecedores principais, cada um respondendo por uma camada distinta da operação:

Camada Provedor Função
Canal de comunicação Meta Platforms, Inc. WhatsApp Business Platform via Cloud API oficial
Inteligência artificial DeepSeek Motor de IA generativa para condução das conversas
Persistência de dados MongoDB Banco de dados de histórico, contexto e configuração

Cada provedor mantém certificações e controles próprios. Atuamos como integradora — não substituímos nem reempacotamos esses serviços. O cliente final mantém relação contratual direta com cada fornecedor.

03 API oficial Meta (WhatsApp Business)

Toda a comunicação no WhatsApp acontece exclusivamente via Cloud API oficial da Meta Platforms, sob a WhatsApp Business Platform.

O que isso garante na prática:

  • Criptografia ponta a ponta nativa entre o titular e a infraestrutura Meta para todas as mensagens em trânsito.
  • Conformidade com as Políticas Comerciais do WhatsApp, garantindo que a conta opera dentro das regras da plataforma — sem risco de bloqueio por uso não autorizado.
  • Aderência à Política de Mensagens Comerciais e aos Termos da WhatsApp Business Solution.
  • Sem soluções não-homologadas: não usamos automações via WhatsApp Web, web scraping ou qualquer outra técnica que viole os termos da plataforma.

A conta WABA (WhatsApp Business Account) é configurada em nome do cliente contratante e fica sob sua titularidade.

04 DeepSeek como motor de IA

A inteligência conversacional da atendente é fornecida pelo DeepSeek, acessado via API oficial. Não treinamos modelos com dados de clientes, e não enviamos dados para terceiros além do necessário para produzir cada resposta.

Sobre o uso:

  • As chamadas à API DeepSeek são feitas sob a conta do próprio cliente — sem markup, sem intermediação financeira da Kunlatek.
  • O contexto enviado em cada interação é o estritamente necessário para a próxima resposta da atendente. Não enviamos dados de outros clientes, históricos não relacionados ou informações sensíveis fora de contexto.
  • O cliente pode auditar diretamente o consumo e o tráfego de sua conta DeepSeek.
  • Trocas de provedor de IA são tecnicamente possíveis caso o cliente prefira outra opção. O DeepSeek é o padrão por seu equilíbrio entre custo e qualidade em português.

05 MongoDB como camada de dados

Histórico de conversas, configuração da atendente, cadastros de leads e dados operacionais ficam armazenados em MongoDB, configurado sob a conta do cliente — tipicamente no MongoDB Atlas em região geográfica escolhida pelo cliente.

Características principais:

  • Titularidade direta: a instância MongoDB é provisionada e contratada em nome do cliente. A Kunlatek apenas configura o esquema, mantém a integração e ajuda na operação — mas o banco pertence ao cliente.
  • Criptografia em repouso: todos os dados são criptografados em disco pelo próprio MongoDB Atlas, usando AES-256.
  • Criptografia em trânsito: todas as conexões com o banco usam TLS 1.2 ou superior.
  • Backups automáticos: snapshots periódicos configurados conforme a política de backup escolhida pelo cliente.
  • Soberania regional: o cliente escolhe a região geográfica do banco. Recomendamos São Paulo (sa-east-1) por padrão para clientes brasileiros, mantendo os dados em território nacional.

06 Titularidade das contas pelo cliente

Esta é uma das decisões arquiteturais mais importantes da Kunlatalk: o cliente é dono de tudo.

Na operação típica, o cliente abre e mantém sob sua titularidade direta:

  • A conta Meta Business (Business Manager) e a conta WhatsApp Business (WABA).
  • A conta DeepSeek e a respectiva chave de API.
  • A conta MongoDB Atlas e a instância de banco de dados.

A Kunlatek atua como integradora técnica, configurando a infraestrutura e mantendo a operação — mas sem se interpor entre o cliente e seus fornecedores. Isso elimina riscos de aprisionamento, garante auditabilidade total e dá ao cliente o controle completo sobre os custos diretos de cada serviço.

Se a parceria com a Kunlatek terminar por qualquer motivo, o cliente permanece com toda a infraestrutura, todos os dados e todas as credenciais.

07 Criptografia e proteção em trânsito e em repouso

Aplicamos criptografia em todas as camadas da operação:

  • Trânsito titular ↔ Meta: criptografia ponta a ponta nativa do WhatsApp.
  • Trânsito Meta ↔ Kunlatalk: TLS 1.2+ obrigatório nas chamadas à Cloud API oficial.
  • Trânsito Kunlatalk ↔ DeepSeek: TLS 1.2+ em todas as chamadas à API de inferência.
  • Trânsito Kunlatalk ↔ MongoDB: TLS 1.2+ obrigatório em todas as conexões ao banco.
  • Repouso no MongoDB: AES-256 nativo do MongoDB Atlas.
  • Credenciais e segredos: chaves de API e tokens armazenados em vaults com criptografia em repouso e rotacionados quando necessário.

08 Controle de acesso e autenticação

O acesso aos sistemas e dados da Kunlatalk segue o princípio do menor privilégio:

  • Acessos administrativos da Kunlatek à infraestrutura do cliente são concedidos sob permissões específicas e auditáveis no Meta Business Manager, MongoDB Atlas e plataforma DeepSeek. O cliente pode revogar a qualquer momento.
  • Autenticação multifator (MFA) é obrigatória para todas as pessoas com acesso a sistemas administrativos.
  • Princípio do menor privilégio aplicado a todos os papéis: cada pessoa recebe apenas o nível de acesso necessário para a sua função.
  • Acessos ao Administrado são individuais, com gestão de papéis e permissões granulares por módulo.
  • Senhas são armazenadas exclusivamente como hashes com salt, usando algoritmos modernos (bcrypt ou equivalente).
  • Revogação imediata de acessos quando colaboradores ou parceiros deixam de atuar no projeto.

09 Retenção e exclusão de dados

A política de retenção da Kunlatalk segue o que está definido na Política de Privacidade. Em resumo:

  • Histórico de conversas: mantido pelo período definido pela empresa contratante (Controladora), respeitados os prazos mínimos da LGPD e regulações setoriais aplicáveis.
  • Dados de leads e clientes: conforme a finalidade e a base legal de tratamento. Em geral, enquanto durar a relação comercial mais o prazo de prescrição legal.
  • Logs operacionais e de auditoria: retidos pelo tempo necessário para investigação de incidentes e cumprimento de obrigações regulatórias.
  • Exclusão sob solicitação do titular: processada conforme os direitos garantidos pela LGPD (art. 18). Solicitações podem ser feitas diretamente à empresa contratante ou subsidiariamente à Kunlatek.
  • Anonimização: quando juridicamente possível, dados são anonimizados em vez de excluídos para preservar análises estatísticas agregadas.

10 Monitoramento e auditoria

Mantemos logs e monitoramento contínuo para detectar anomalias e suportar investigações:

  • Logs de aplicação registrando eventos relevantes da operação da atendente — sem armazenar conteúdo sensível em texto plano nos logs.
  • Logs de acesso administrativo à plataforma Administrado, com rastreabilidade de quem fez o quê e quando.
  • Logs do MongoDB Atlas incluindo conexões, alterações de configuração e operações administrativas, retidos conforme a política de auditoria.
  • Monitoramento de uso da API Meta para detectar padrões anômalos que possam indicar abuso ou comprometimento da conta.
  • Monitoramento de custos nos provedores DeepSeek e MongoDB, com alertas configuráveis para variações inesperadas.

11 Resposta a incidentes

Em caso de incidente de segurança que envolva dados pessoais, seguimos um processo estruturado de resposta:

  1. Detecção e contenção: identificação do incidente, isolamento dos sistemas afetados e contenção do escopo.
  2. Avaliação de impacto: análise do que foi exposto, por quanto tempo, e quantos titulares foram potencialmente afetados.
  3. Notificação à Controladora: comunicação imediata à empresa contratante, com todas as informações necessárias para que ela possa cumprir suas obrigações legais.
  4. Notificação à ANPD e aos titulares quando o incidente puder acarretar risco ou dano relevante, conforme o art. 48 da LGPD. A notificação aos titulares e à ANPD é responsabilidade da Controladora; a Kunlatek presta todo o suporte técnico necessário.
  5. Correção e prevenção: implementação de medidas corretivas para evitar a repetição do incidente, com documentação completa do aprendizado.

Mantemos um canal interno priorizado para tratamento de incidentes, acionável 24 horas por dia, 7 dias por semana, durante operação ativa.

12 Comunicação de vulnerabilidades

Se você identificou uma vulnerabilidade de segurança em algum sistema operado pela Kunlatek, pedimos que entre em contato pelos canais abaixo antes de divulgar publicamente:

  • E-mail prioritário: contato@kunlatek.com com o assunto "Vulnerabilidade de segurança".
  • Forneça detalhes técnicos suficientes para reprodução do problema, e um meio de contato para retorno.
  • Comprometemo-nos a responder em até 5 dias úteis e a manter você informado sobre o tratamento da vulnerabilidade.
  • Não tomamos medidas legais contra pesquisadores que reportem vulnerabilidades de forma responsável, agindo de boa-fé e sem causar danos à operação ou aos dados.

13 Contato do time de segurança

Para questões relacionadas a segurança da informação, conformidade ou tratamento de dados:

Para dúvidas comerciais, o canal mais rápido é o WhatsApp. Mas para tudo o que envolve segurança ou tratamento de dados, preferimos o e-mail — é rastreável, formal e respeita os requisitos da LGPD.

Dúvidas sobre segurança?

Nossa equipe está à disposição para esclarecer qualquer ponto técnico sobre a infraestrutura e os controles da Kunlatalk.

Falar com a equipe