Protegendo Dados Biométricos em Trânsito
Como o PunchConnect criptografa dados de ponto de ponta a ponta — TLS 1.3, AES-256 em repouso, assinaturas HMAC-SHA256 em webhooks e por que isso importa para conformidade.
Por que a segurança importa para dados biométricos
Dados biométricos de ponto incluem identificadores pessoais — templates de impressão digital, dados de reconhecimento facial e registros de funcionários. Em muitas jurisdições (LGPD, GDPR, POPIA, PDPA), isso é classificado como dado pessoal sensível com requisitos rigorosos de tratamento.
Uma violação de dados biométricos é particularmente grave porque, diferente de senhas, você não pode trocar suas impressões digitais.
Criptografia em trânsito
Toda comunicação entre dispositivos e o PunchConnect usa TLS 1.3. O protocolo push da ZKTeco funciona sobre HTTPS, garantindo que dados de ponto, registros de funcionários e comandos de dispositivos sejam criptografados em trânsito.
Entregas de webhooks para o seu servidor também exigem HTTPS. O PunchConnect não entregará webhooks para endpoints HTTP simples no modo de produção.
Criptografia em repouso
Todos os dados armazenados no banco de dados do PunchConnect são criptografados usando AES-256. Isso inclui registros de ponto, dados de funcionários, configurações de dispositivos e logs de webhooks.
Backups do banco de dados também são criptografados, e o acesso é restrito a sistemas automatizados com credenciais rotativas.
Verificação de assinatura de webhooks
Toda entrega de webhook inclui um header X-PunchConnect-Signature contendo um hash HMAC-SHA256 do payload, calculado usando seu segredo de webhook.
Seu servidor deve verificar essa assinatura antes de processar qualquer webhook. Isso impede que atacantes enviem eventos de ponto falsos para o seu endpoint.