docs
Plataforma

Segurança

Como a Veloz protege seus dados, código e deployments.

Segurança é prioridade desde o primeiro dia da Veloz.

Criptografia

Em trânsito

Toda comunicação usa TLS 1.3:

  • Upload de código (CLI → Veloz)
  • Autenticação e tokens
  • Comunicação entre serviços internos
  • Acesso aos apps deployados (HTTPS automático)

Em repouso

  • Banco de dados com criptografia a nível de disco
  • Backups criptografados

Isolamento

Cada deploy roda em um ambiente completamente isolado:

  • Runtime isolado: Apps de diferentes usuários nunca compartilham processos ou memória
  • Rede isolada: Cada app tem seu próprio namespace de rede
  • Filesystem isolado: Sem acesso ao filesystem de outros apps
  • Limites de recursos: CPU e memória limitados por app, prevenindo noisy-neighbor

Builds

Builds rodam em ambientes efêmeros — são criados para o build e destruídos logo após. Secrets nunca aparecem nos logs de build.

Autenticação

CLI

A CLI usa Device Authorization Flow (OAuth 2.0):

  1. A CLI gera um código de verificação
  2. Você confirma no navegador
  3. Um token de acesso é emitido para a CLI
  4. Nenhuma senha trafega pela CLI

Tokens são armazenados localmente com permissões restritas (600).

API Keys

Para integração com CI/CD:

  • Criáveis via veloz apikey create
  • Revogáveis a qualquer momento: veloz apikey delete <id>
  • Listáveis: veloz apikey list

Dashboard

  • Autenticação via GitHub
  • Sessões expiram automaticamente após inatividade

Proteção de Secrets

Variáveis de ambiente recebem tratamento especial:

  • Mascaradas no dashboard e na CLI (últimos 4 caracteres visíveis)
  • Nunca exibidas nos logs de build ou runtime
  • Acessíveis apenas pelo app em runtime e pelo dono via CLI/dashboard
  • Importáveis e exportáveis: veloz env import, veloz env export

Certificados SSL

  • Provisionados automaticamente para todos os apps
  • Renovação automática antes da expiração
  • Suporte para domínios .onveloz.com e domínios personalizados

Rede

  • CDN com cache automático para seus apps
  • Proteção contra DDoS incluída
  • Rate limiting em todas as APIs
  • DNS gerenciado com alta disponibilidade

Auditoria

Todas as ações são registradas:

  • Quem: Usuário ou API key
  • O quê: Tipo de ação (deploy, config, login, env var, domínio)
  • Quando: Timestamp
  • De onde: Dashboard, CLI ou API (detectado automaticamente)

Compliance

LGPD

  • Dados armazenados no Brasil
  • Direitos do titular respeitados (acesso, correção, exclusão)
  • Política de privacidade em Privacidade

Vulnerabilidades

Se você encontrar uma vulnerabilidade, entre em contato pelo nosso Discord. Priorizamos correções baseadas na severidade.

Próximos passos