🛡️ Recursos de Segurança

🔒 Criptografia AES-256-CBC Grau Militar

Cada arquivo enviado ao FileWalla é criptografado usando criptografia AES-256-CBC, o mesmo padrão usado por governos e exércitos em todo o mundo para proteger informações classificadas.

• Chaves de criptografia únicas por organização
• Derivação segura de chaves a partir da chave mestra (armazenada em variáveis de ambiente)
• Criptografia do lado do servidor com gerenciamento de chave mestra
• Permite moderação legal de conteúdo mantendo segurança sólida

🛡️ Criptografia do Lado do Servidor vs de Ponta a Ponta

O FileWalla usa criptografia forte do lado do servidor (AES-256) para proteger todos os arquivos em repouso, junto com criptografia em trânsito (TLS) para proteger dados durante a transferência.

Escolhemos intencionalmente um modelo de criptografia do lado do servidor em vez de criptografia de ponta a ponta. Esta decisão nos permite fornecer recursos essenciais de segurança e conformidade, incluindo escaneamento de malware, detecção de abuso, moderação legal de conteúdo e opções de recuperação segura de arquivos.

Embora a criptografia de ponta a ponta impeça até mesmo o provedor de serviços de acessar o conteúdo, ela também remove a capacidade de escanear vírus, prevenir a distribuição de conteúdo ilegal, auxiliar usuários que perdem credenciais ou cumprir obrigações legais em jurisdições regulamentadas como o Canadá.

Nossa abordagem equilibra privacidade, segurança e responsabilidade legal. Os arquivos armazenados em nossos servidores não podem ser acessados fora do sistema FileWalla, e controles de acesso rigorosos governam qualquer capacidade de descriptografia administrativa.

Acreditamos que segurança responsável significa proteger dados do usuário enquanto também previne uso indevido e mantém conformidade com as leis aplicáveis. Nosso modelo de criptografia reflete esse equilíbrio.

🛡️ Escaneamento de Vírus Multinível Ativo

Todos os arquivos são escaneados em busca de vírus e malware ANTES da criptografia usando uma abordagem multicamada:

• ClamAV (Principal): Antivírus padrão da indústria com atualizações diárias
• phpMussel (Reserva): Detecção de malware baseada em padrões
• Política de Confiança Zero: Uploads bloqueados se nenhum scanner estiver disponível
• Verificação de Escaneamento: Emblemas visuais mostram qual scanner verificou cada arquivo
• Registro Abrangente: Todos os eventos de escaneamento registrados na trilha de auditoria

🚫 Bloqueio de Arquivos Criptografados Tolerância Zero

Arquivos ZIP, RAR e 7z protegidos por senha são automaticamente bloqueados para prevenir abuso e garantir que todo conteúdo possa ser escaneado em busca de material ilegal.

• Detecção automática de arquivos criptografados/protegidos por senha
• Sistema de 3 infrações com suspensão automática
• Alertas ao administrador por violações repetidas
• Previne abuso criminal e distribuição de CSAM

✅ Verificação de Integridade de Arquivos

Cada arquivo inclui somas de verificação SHA-256 para verificar integridade e detectar adulteração.

• Hash SHA-256 gerado no upload
• Verificação automática no download
• Detecção de adulteração e alertas de corrupção

🔐 Hash de Senhas Bcrypt Padrão da Indústria

Todas as senhas são processadas com hash usando Bcrypt com fator de custo 10, tornando-as virtualmente impossíveis de quebrar mesmo se o banco de dados for comprometido.

• Hash unidirecional (senhas não podem ser descriptografadas)
• Geração automática de salt
• Requisitos de complexidade de senha aplicados
• Mínimo 8 caracteres, maiúsculas, minúsculas, números, caracteres especiais

📱 Autenticação de Dois Fatores (2FA) Google Authenticator

2FA opcional usando Google Authenticator adiciona uma camada extra de segurança à sua conta.

• Implementação TOTP (Senha de Uso Único Baseada em Tempo)
• Configuração por código QR para fácil configuração
• Códigos de backup para recuperação de conta
• Obrigatório para contas de administrador

🚨 Proteção Progressiva contra Força Bruta Multicamada

Proteção avançada multinível contra ataques de login com contramedidas escaláveis:

• Força Bruta Padrão: 5 tentativas falhadas em 5 minutos → bloqueio de IP por 10 minutos
• Ataque de Dicionário: 20+ tentativas por minuto → bloqueio de IP por 1 hora + alerta ao administrador
• Reincidentes: 3 ataques de dicionário em 24 horas → BANIMENTO PERMANENTE
• Registro Abrangente: Todas as tentativas falhadas rastreadas com IP, carimbo de data/hora e trilha de auditoria
• Alertas Automáticos: Administrador notificado de todos os eventos de segurança por e-mail

🍪 Gerenciamento Seguro de Sessões

As sessões são configuradas com configurações de segurança máxima para prevenir sequestro e roubo.

• Cookies HTTPOnly (previne acesso JavaScript)
• Flag Secure (transmissão apenas HTTPS)
• Regeneração de sessão no login
• Timeout automático após inatividade

💉 Prevenção de Injeção SQL Cobertura 100%

Todas as consultas ao banco de dados usam declarações preparadas PDO, tornando ataques de injeção SQL impossíveis.

• Consultas parametrizadas em todo o código
• Sanitização e validação de entradas
• Camada de abstração de banco de dados para portabilidade

🔍 Registro de Auditoria Abrangente

Cada ação relevante para segurança é registrada com detalhes completos para análise forense.

• Logins, logouts, alterações de senha
• Uploads, downloads, exclusões de arquivos
• Tentativas de login falhadas e bloqueios de segurança
• Ações de administrador e alterações do sistema
• Endereços IP, carimbos de data/hora e agentes de usuário

⚖️ Ferramentas de Conformidade Legal Lei Canadense

Ferramentas integradas para moderação legal de conteúdo e conformidade com a lei canadense.

• Painel de moderação de conteúdo para administradores
• Reporte de CSAM ao NCMEC/Cybertip.ca/RCMP
• Preservação de evidências para as autoridades
• Prevenir abuso criminal mantendo a privacidade

👥 Controle de Acesso Baseado em Funções

Sistema de permissões de três níveis para colaboração em grupo com hierarquias claras.

• Proprietário: Controle total, gerenciamento de cobrança, aprovação de membros
• Administrador: Gerenciamento de membros, moderação de arquivos
• Membro: Compartilhamento de arquivos, mensagens dentro do grupo

🌐 Hospedagem Segura

Hospedado em infraestrutura canadense para manter a soberania digital e de domínio com residência de dados canadense.

• Criptografia SSL/TLS para todas as conexões
• Proteção DDoS e filtragem de tráfego
• Atualizações de segurança e patches regulares
• Proteção de firewall e detecção de intrusão

🔑 Segurança de Variáveis de Ambiente

Chaves mestras de criptografia e credenciais de API armazenadas com segurança em variáveis de ambiente.

• Sem segredos no código ou controle de versão
• SetEnv no .htaccess para produção
• Configurações separadas de desenvolvimento/produção

📁 Proteção de Diretório de Upload

Configuração especial previne a execução de arquivos maliciosos em diretórios de upload.

• .htaccess bloqueia execução PHP em uploads/
• Validação e sanitização de tipos de arquivo
• Limites de tamanho previnem abuso de armazenamento

🚨 Detecção de Ameaças em Tempo Real

Sistemas automatizados monitoram atividade suspeita e respondem imediatamente.

• Rastreamento e análise de logins falhados
• Detecção de padrões de acesso incomuns
• Bloqueios automáticos de IP para ataques
• Alertas por e-mail para administradores

📈 Painel de Análise de Segurança

O painel de administração fornece métricas e insights de segurança em tempo real.

• Tentativas de login falhadas (visão de 24 horas)
• Bloqueios de IP ativos
• Banimentos permanentes
• Estatísticas de escaneamento de vírus
• Monitoramento de atividade de usuários