Segurança e privacidade que você pode auditar
Não listamos certificações que não temos. Esta página descreve os controles de segurança reais que estão na Spot hoje.
Multi-tenant por design
Cada equipe é dona dos seus dados. Todos os modelos aplicam um escopo global team_id na camada ORM — não existe caminho para uma equipe ler players, layouts, assets ou playlists de outra equipe.
Controle de acesso por papel
Permissões granulares (recurso.ação) com papéis embutidos Proprietário, Admin, Editor, Operador e Visualizador. Defina seus próprios papéis por equipe.
Trilha de auditoria completa
Cada criação, atualização, exclusão, publicação, comando e mudança na equipe é registrada com autor, IP e timestamp. Disponível em Configurações → Log de auditoria.
Autenticação reforçada
Laravel Fortify com hashing de senha classe Argon2, throttling e e-mails verificados. O acesso à API usa tokens Laravel Sanctum com escopo por dispositivo.
Criptografado em trânsito
Somente HTTPS em produção. Conexões WebSocket usam wss:// com terminação TLS. A API do player exige canais autenticados e assinados.
Segredos criptografados em repouso
Credenciais sensíveis (chaves de API, tokens de integração) são criptografadas na camada de aplicação com a criptografia autenticada do Laravel.
Nenhum dado de cartão nos nossos servidores
A Stripe cuida de todo o escopo PCI. Guardamos identificadores de cliente e assinatura, nunca números de cartão ou CVCs.
Analytics que respeita a privacidade
Analytics de produto via Rybbit — sem cookies de terceiros, sem rastreamento entre sites, sem venda de dados.
Pareamento de dispositivos por OTP
Os players são pareados via códigos descartáveis de curta duração atrelados a um identificador persistente do dispositivo. Dispositivos perdidos podem ser despareados com um clique.
Cache offline, por design
Os players continuam exibindo o último conteúdo em cache se a rede cair. As atualizações são baixadas em segundo plano e só são trocadas quando totalmente prontas.
Para onde estamos indo
Atestados formais SOC 2 / ISO 27001 estão no roadmap. Vamos listá-los aqui no momento em que tivermos — não antes.