polarisTrust & PrivacyEntrar →
Polaris · Raravis Consulting

Como Polaris protege os dados dos seus funcionários.

Polaris é uma suíte de gestão de pessoas multi-tenant operada pela Raravis Consulting. Esta página é nossa vitrine de confiança: aponta como cada controle de proteção de dados está implementado, onde vive a evidência e como solicitar nossos documentos contratuais. Conteúdo destinado a DPO, jurídico e segurança da informação de clientes em avaliação.

LGPD
Art. 18 endpoints
RLS
Multi-tenant isolation
TLS 1.2+
HSTS 2 anos
AES-256
Encryption at rest
Audit
Imutável · 5 anos
01

Isolamento multi-tenant garantido por Row Level Security

Toda tabela com dado de cliente tem políticas de banco que negam por padrão. Mesmo que a aplicação tenha bug, o Postgres recusa rows fora da organização do usuário logado.

Em vez de depender de o desenvolvedor lembrar de filtrar por organização em cada query, o controle vive no banco. A organização do usuário entra via claim do JWT, e cada política SQL (read/write) consulta essa claim antes de liberar a linha. Defesa em profundidade — não há código aplicacional capaz de vazar dado cross-tenant.

Suite de testes de integração contra Postgres real exercita cenários cross-tenant a cada PR (organização A não vê dados de B, faixas salariais respeitam subárvore hierárquica, revisor não consegue deletar comentário alheio etc.). O CI bloqueia merge se qualquer cenário regredir.

02

Direitos do titular (LGPD Art. 18)

Endpoints administrativos cobrem acesso, portabilidade e eliminação. Anonimização irreversível, com dupla custódia e audit trail.

Acesso e portabilidade
Admin RH solicita exporte completo de um titular. Retorna JSON estruturado com identificação, vínculos, histórico de cargos, remuneração, eventos de carreira e registros de auditoria correlacionados. Cada exporte gera entrada própria de auditoria.
Correção
Realizada pelo admin do controlador via interface de gestão de equipe e cargos. Cada alteração é registrada em audit log.
Eliminação com 4-eyes
Solicitação criada por um admin, aprovação por outro admin (pode ser o mesmo se a política do cliente permitir). Aprovação aciona anonimização: nome, e-mails, telefone, foto e número de matrícula ficam nulos; histórico financeiro e de carreira permanece para cumprimento de obrigações trabalhistas.
Retenção limitada
Audit log retém PII histórica por 5 anos (mínimo legal trabalhista) e sofre expurgo automático semanal posterior. Cada execução de purge registra-se em audit como entrada não-expurgável — controlador sempre audita quantos registros sumiram, quando, com que retenção.
03

Backup e recuperação

Daily backups com retenção mínima de 7 dias. Point-in-Time Recovery opcional para janela de perda menor.

Plano de produção inclui backups diários automáticos pelo provedor de banco de dados (retenção 7 dias). Point-in-Time Recovery é add-on contratável quando o SLA do cliente exige janela de perda inferior a 1 hora. Restaurações têm playbook documentado com validação pós-restore antes de liberar a base ao tráfego.

Snapshots manuais são tirados antes de migrações destrutivas. O controlador pode solicitar pg_dump filtrado por organização a qualquer momento, para fins de portabilidade ou auditoria.

04

Audit trail imutável

Toda mudança relevante (cargo criado/editado, comentário resolvido, importação aplicada, anonimização) gera entrada em audit_log com ator, antes/depois, timestamp.

A tabela de auditoria não aceita UPDATE nem DELETE — único caminho de remoção é o expurgo programado pela política de retenção. Apenas o papel administrativo da própria organização consegue ler. Os campos “antes” e “depois” são snapshots JSON do estado da entidade, permitindo reconstrução de qualquer mudança histórica até o limite da retenção.

05

Criptografia e cabeçalhos de segurança

TLS 1.2+ em todas as rotas, HSTS de 2 anos, AES-256 no banco. Cabeçalhos hardenizados em todas as respostas.

Em trânsito
TLS 1.2 ou superior fim a fim. Strict-Transport-Security com max-age=63072000; includeSubDomains; preload.
Em repouso
Banco de dados criptografado em AES-256 pelo subprocessador de infraestrutura. Cliente pode revogar acesso a qualquer tempo via painel administrativo do subprocessador.
Tokens externos
Convites para revisores externos usam tokens opacos (256 bits aleatórios), revogáveis a qualquer momento. Não são JWT — sem risco de leak por decode local.
Cabeçalhos HTTP
X-Frame-Options=DENY, X-Content-Type-Options=nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy bloqueando câmera/microfone/geolocalização.
06

Controle de acesso por papel

Quatro papéis aplicacionais com políticas SQL distintas, seguindo princípio do menor privilégio.

PapelPodeNão pode
Admin RHCRUD completo da arquitetura de cargos e equipe da própria organização; aciona requisições de titularAcessar dados de outra organização
ManagerLer cargos; comentar; visualizar bandas salariais apenas na subárvore de reporteEditar cargos; ver bandas salariais fora da subárvore
ReviewerLer cargos; comentar; participar de revisão estruturadaDeletar comentários alheios; editar cargos
ViewerApenas leituraComentar; editar; exportar

Credenciais de banco com bypass total de políticas (service role) são proibidas em runtime e usadas apenas em scripts de seed operados manualmente por administrador autorizado.

07

Subprocessadores

Lista pública dos terceiros que tratam dados em nome do controlador. Cada subprocessador é coberto por DPA próprio anexado ao DPA principal.

SubprocessadorFunçãoLocalizaçãoCertificaçõesDPA
SupabasePostgreSQL gerenciado, autenticação, storageBrasil (São Paulo)SOC 2 Type IIDPA do subprocessador
VercelHospedagem da aplicação e CDNOrigin Brasil (São Paulo); edge globalSOC 2 Type II · ISO 27001DPA do subprocessador
SentryMonitoramento de erros (PII desabilitada)UE ou EUA (escolha do controlador)SOC 2 Type IIDPA do subprocessador
ResendE-mail transacional (apenas quando ativado)Edge globalSOC 2 Type IIDPA do subprocessador

Mudança ou inclusão de novo subprocessador é comunicada ao controlador com no mínimo 30 dias de antecedência, permitindo direito de oposição motivada. Detalhes contratuais no DPA.

08

Observabilidade sem vazamento de PII

Error tracking ativado com PII desligada por padrão. Logs com retenção controlada por camada.

Erros
Plataforma de monitoramento de erros com sendDefaultPii=falsecomo padrão. Cliente pode hospedar plataforma própria (auto-hospedada) se preferir.
Logs runtime
30 dias de retenção pela plataforma de hospedagem.
Logs Postgres
7 dias de retenção pelo subprocessador de banco.
Audit log
5 anos, com expurgo posterior auditável. Mantido pelo controlador via política configurável.
09

Pendências reconhecidas

Em transparência, controles em construção e o que ainda não temos como organização.

  • DPA oficial: minuta pronta, em revisão jurídica. Disponível sob NDA para clientes em negociação ativa.
  • Auditoria de segurança independente: não realizada como organização. Cliente pode contratar e o resultado é incorporado como evidência.
  • Penetration test do Polaris: não realizado. Mesmo critério.
  • ISO 27001 / SOC 2 como organização Raravis: não obtido. Certificações são herdadas dos subprocessadores listados acima.
  • Anonimização estatística (k-anonymity) em analytics: hoje agregações ocorrem em grupos ≥ 5; threshold formal vira configuração em release futura.
10

Como solicitar o DPA

O DPA está em revisão jurídica e é disponibilizado sob NDA para clientes em negociação ativa.

Empresas brasileiras em avaliação avançada da Suite Polaris podem solicitar a minuta atualizada do DPA enviando e-mail para legal@raravis.com.br com cópia para privacy@raravis.com.br. Identifique o nome da empresa, o(a) responsável jurídico/DPO e o estágio do processo de avaliação.

Após assinatura de NDA mútuo, devolvemos a minuta editável (Markdown ou PDF) em até 2 dias úteis para revisão do jurídico do cliente. O DPA é assinado em conjunto com o contrato comercial principal.

11

Como nos acionar

Canais oficiais para titulares, controladores e pesquisadores de segurança.

SituaçãoCanal
Titular pede acesso aos dadosSolicite pelo admin RH da sua organização; o exporte é gerado pelo Polaris
Titular pede eliminaçãoMesmo canal: fluxo de pedido + aprovação na própria plataforma
Solicitar minuta de DPAlegal@raravis.com.br
Encarregado (DPO)privacy@raravis.com.br
Reportar vulnerabilidadesecurity@raravis.com.br
Polaris · uma suíte da Raravis Consulting.
Última revisão: 2026-05-13Entrar