Gawlil

Segurança e confiança

Última atualização: junho de 2026

Esta página é mantida pela equipe Gawlil para responder dúvidas comuns sobre segurança, privacidade e operação da plataforma. Ela descreve controles atualmente habilitados no produto e não constitui certificação independente.

⚠️ Documento informativo. Para termos legais consulte Termos de Uso e Política de Privacidade.

Acesso e autenticação

  • Login por e-mail/senha e Google OAuth.
  • Login operacional de atendentes por avatar + PIN, com bloqueio após tentativas inválidas.
  • Papéis (owner, admin, atendente) armazenados em tabela dedicada com verificação no servidor.
  • Permissões granulares por organização e filial.

Isolamento de dados

  • Dados segregados por organização via Row Level Security (RLS) no banco.
  • Colunas sensíveis de perfil (telefone e e-mail de recuperação) acessíveis apenas pelo próprio usuário e por rotinas server-side autorizadas.
  • Operações privilegiadas exigem verificação de papel antes da execução.

Criptografia

  • TLS em todas as conexões cliente-servidor.
  • Criptografia em repouso no banco gerenciado.
  • Tokens de integração (WhatsApp, Evolution, Asaas) cifrados antes do armazenamento.

Inteligência Artificial supervisionada

  • Sugestões da IA são revisáveis pelo atendente antes do envio.
  • Ações sensíveis (cobranças, agendamentos, transferências) exigem confirmação humana.
  • Autopilot de envio real permanece bloqueado por flag enquanto não passa pelo piloto acompanhado.
  • Defesa contra prompt injection nas mensagens recebidas.

Webhooks e endpoints públicos

  • Webhooks (WhatsApp, Evolution, Asaas) validam assinatura/token antes de qualquer escrita.
  • Endpoints de cron exigem segredo dedicado.
  • Edge functions internas validam autenticação e pertencimento à organização.

Observabilidade e resposta

  • Monitor de saúde checa integrações a cada minuto (/admin/health).
  • Logs de erro centralizados com mascaramento de dados sensíveis.
  • Runbook de resposta a incidentes para o piloto acompanhado.

Retenção e LGPD

  • Exportação de dados em JSON disponível na conta do usuário.
  • Exclusão de conta com dupla confirmação.
  • Dados retidos por até 90 dias após cancelamento para backup/recuperação.

Contato de segurança

Para reportar vulnerabilidades ou dúvidas: contato@gawlil.com