Colocar CRM, contabilidade, RH e helpdesk em uma plataforma levanta questões reais. Abaixo está como respondemos a elas – por design, por arquitetura e por padrão. E-mail [email protected] se alguma coisa abaixo não for suficiente.
Nenhum teatro de distintivos. Esta é a arquitetura que protege seus dados — verificável na forma como a plataforma é construída e operada, e não em um certificado emoldurado.
A maioria das plataformas coloca cada cliente em um grande banco de dados compartilhado e separa você com um account_id coluna. Mewayz não. Cada locatário obtém seu próprio banco de dados e ambiente – e cada parceiro de marca branca recebe sua própria caixa totalmente isolada.
Seus registros residem em um banco de dados provisionado apenas para seu espaço de trabalho — e não em uma tabela compartilhada separada por um filtro. Sem desempenho de vizinho barulhento, sem superfície de consulta entre locatários, sem “alguém ruim WHERE cláusula vaza risco para todos”.
Cada parceiro de marca branca recebe seu próprio usuário Linux, banco de dados e espaço de arquivo — automaticamente, em cerca de dois minutos. Os clientes, arquivos e dados de um parceiro ficam dentro da caixa desse parceiro. Nada está misturado.
Mewayz executa uma instância de aplicativo, banco de dados e ambiente separados em cada região. Seus dados são criados e permanecem na região escolhida no momento da inscrição – UE, EUA ou APAC – portanto, a residência e a baixa latência são o padrão, não um complemento.
Estas são as regras que nossa equipe de segurança segue. Eles não são aspiracionais – são os portões que um recurso deve passar antes de ser lançado.
Não vendemos insights agregados. Não treinamos modelos de ML em seus registros. Não lemos e-mails recebidos para o mercado de produtos. Seus dados são o produto que hospedamos, não uma matéria-prima.
Um clique em Configurações exporta tudo em formatos padrão. Facilitamos a saída de propósito. O melhor cliente é aquele que sabe que pode sair e opta por não fazê-lo.
AES-256 em repouso. TLS 1.3 em trânsito. Gerenciamento de chaves via AWS KMS com opção de chave gerenciada pelo cliente no nível Agência. Não há níveis "criptografaremos clientes premium".
Os funcionários acessam os dados do cliente somente sob auditoria, somente quando um cliente abre um ticket de suporte solicitando isso e apenas para os registros aos quais o ticket pertence. Cada acesso registrado, por tempo indeterminado.
Escolha a região UE, EUA ou APAC no momento da inscrição. Os dados permanecem na região por padrão. A replicação entre regiões é opcional, com consentimento explícito no DPA.
Se tivermos um incidente de segurança que afete os dados dos clientes, notificaremos os clientes afetados dentro de 72 horas após a confirmação do impacto. Sem exceções, sem janelas de atraso aprovadas por PR.
Escolha na inscrição. Não pode ser alterado após o carregamento dos dados sem uma migração planejada. Subprocessadores por região listados no portal confiável.
| Região | AZs primárias | Hospedado por | Cópias de segurança | Subprocessadores |
|---|---|---|---|---|
| UE | Frankfurt · Dublin · Estocolmo | AWS eu-central-1, eu-west-1, eu-norte-1 | Na região · 35 dias | Apenas na UE |
| EUA | Virgínia · Oregon · Ohio | AWS us-east-1, us-west-2, us-east-2 | Na região · 35 dias | Somente EUA |
| APAC | Singapura · Tóquio · Mumbai | AWS ap-sudeste-1, ap-nordeste-1, ap-south-1 | Na região · 35 dias | Regionais |
SLA de tempo de atividade de 99,95% no Business, 99,99% na Agência. Implantações Multi-AZ com failover automático. Runbooks de DR testados executados trimestralmente. Página de status público em status.mewayz.com.
Recuperação pontual para qualquer momento nos últimos 35 dias. Instantâneos por hora dos últimos 7 dias. Restauração testada mensalmente. RTO 4 horas; RPO 15 minutos.
SSO via SAML 2.0/OIDC no Business+. Provisionamento SCIM na Agência. MFA necessário para todas as contas de administrador. Acesso baseado em funções com 14 funções padrão, além de construtor de funções personalizadas.
Cada ação na plataforma é registrada em uma trilha de auditoria imutável. Mantido por 7 anos. Transmissível para Splunk / Datadog / Elastic via integração. Alerta de atividades suspeitas integrado.
Revisão anual de segurança de cada subprocessador. Fornecedores de nível 1 (AWS, Stripe, Twilio) sob contrato direto. Lista Tier-2 publicada; Aviso prévio de 30 dias antes de adicionar novos.
Pen-test externo duas vezes por ano. Equipe vermelha interna trimestralmente. Programa de recompensas de bugs com HackerOne — recompensas de $250 (baixa) a $10,000 (crítica). Escopo publicado, sem necessidade de NDAs.
Na infraestrutura, nós mesmos operamos – nosso próprio banco de dados e servidor de e-mail rodando em AWS EC2 por trás do Cloudflare. Ele não é entregue a uma cadeia de fornecedores terceirizados de SaaS. Isso é o que significa “pilha auto-hospedada”: seus dados principais permanecem dentro do regime que controlamos. Duas exceções, ambas sob seu controle: os dados do cartão são gerenciados pelo Stripe (PCI DSS Nível 1), portanto, nunca armazenamos números de cartão brutos, e os recursos de IA chamam OpenAI, Anthropic ou Google usando sua própria chave de API – que você pode configurar ou desativar.
Sim. Temos um DPA padrão que a maioria das equipes de compras aceita no estado em que se encontra. Os DPAs personalizados são revisados por um advogado – geralmente aprovados em até cinco dias úteis.
Na região que você selecionar na inscrição. Os dados da região da UE permanecem na UE. EUA nos EUA. APAC em APAC. Nenhuma replicação silenciosa entre regiões.
Por padrão, não. O acesso requer um ticket de suporte iniciado pelo cliente e uma concessão de função explícita. Cada acesso é registrado e pode ser visualizado mediante solicitação.
Notificação de 72 horas para clientes afetados. Relatório público de incidente após remediação. Não cronometramos as divulgações em torno dos ciclos de imprensa.
Cancele sua conta em Configurações → Conta. Após 30 dias, os dados são eliminados da produção. Os backups expiram em 35 dias. Os registros de auditoria retêm os metadados da conta por 7 anos (requisito legal); os dados de conteúdo são eliminados.
Não. Os dados do cliente nunca são usados para treinar modelos. Os recursos de IA usam dados do cliente apenas para a solicitação imediata (por exemplo, redigir um e-mail para este cliente) e a solicitação não é retida pelo fornecedor do modelo.
E-mail [email protected] com os detalhes e etapas para reproduzir. Respondemos dentro de 1 dia útil para relatórios críticos e coordenamos a divulgação responsável.
Publicamos um portal confiável com todos os relatórios, subprocessadores e políticas. Envie um e-mail para [email protected] para obter as últimas novidades.