1. Criptografia
Todo tráfego HTTPS. Senhas armazenadas com bcrypt. QR Codes temporários assinados com JWT.
2. Autenticação
Suportamos: senha forte (mínimo 6 caracteres, hash bcrypt), 2FA TOTP opcional, Passkeys (Face ID/Touch ID/Windows Hello), backup codes.
3. Controle de acesso
Cada papel (admin, anfitrião, hóspede, portaria, prestador) tem permissões restritas servidas por API com checagem em todas as rotas.
4. Rate limiting & anti-bot
Limitação de requisições por IP, honeypot em formulários públicos, bloqueio de e-mails descartáveis, verificação CC###### por e-mail.
5. Auditoria
Toda ação relevante é registrada em logs de auditoria com timestamp, ator, ação e contexto.
6. Incidentes
Em caso de incidente de segurança você será comunicado por e-mail nos termos da LGPD.